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TERMINAL ET SYSTEME POUR LA MISE EN OEUVRE DE TRANSACTIONS ELECTRONIQUES SECURISEES. 

Ce terminal cdmprend un module terminal (1) et un 
dispositif personnel de securite (31). Le terminal (1) est 
adapte pour recevoir des requetes d'une application (Fap) 
implantee sur une unite electronique sous la forme de re- 
quetes de haut niveau independantes du module (1 ) et dudit 
dispositif personnel de securite (31). 

. L'un au moins du module terminal (1 ) et du dispositif per- 
sonnel de securite (31) comprend une rnemoire reprogram- 
mable de stockage et des moyens d'execution d'un logiciel 
fittre (F) traduisant les requetes de haut niveau en sequen- 
ces d'echange de donnees entre le module terminal (1) et 
rutilisateur via et en sequences de commandes Elemental- 
res executables par le dispositif personnel de securite, ainsi 
que des moyens de protection dudit logiciel filtre (F, 62), 
pour empecher toute modification dudit logiciel par une per- 
sonne non autorisee. Le logiciel filtre comprend des moyens 
^identification et / ou d'authentification de Porigine des re- 
quetes emises par ladite application (Fap) implantee dans 
ladite unite. 
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La presente invention concerne un terminal et un systeme pour la 
mise en oeuvre de transactions electroniques securisees. 

Les rcseaux publics de transmission de donnees numeriques, tels 
que le reseau Internet, connaissent un developpement considerable. 
Cependant, Tun des freins qui limitent actuellement la mise en oeuvre de 
transactions electroniques securisees sur ce type de reseau reside dans 
Tinsuffisance des mecanismes de securite associes a de telles transactions, 
insuffisance qui se traduit par un manque de confiance des utilisateurs et 
operateurs de reseaux. 

Au sens de la presente demande : 

- une transaction electronique designe un echange d'informations, 
via un reseau public de transmission de donnees numeriques ou de 
telecommunications, soit entre deux ou plusieurs utilisateurs, soit entre un 
utilisateur et un fournisseur de services, 

- une fonction est un traitement effectue dans l'objectif de rendre un 
service a un utilisateur, 

- une application designe un ensemble coherent de services et de 
fonctions, 

- Texpression logiciel d'application designe le ou les logiciels 
necessaires pour mettre en oeuvre les fonctions relatives a une application 
donnee, 

- une transaction securisee est une transaction pour laquelle 
ccrtaincs mesures de securite sont prises, a savoir l'authentification des 
cntites participant a la transaction, Tintegrite, la confidentialitc, 
l'authenticite, et eventuellement la non repudiation des echanges et 
operations effectuecs dans le cadre de la transaction. 

De nombreuses applications necessitent que les transactions 
electroniques mises en oeuvre soient securisees. II s'agit par exemple du 
controle d'acces a des ressources informatiques ou similaires, de la banque 
a domicile (consultation, mouvements de comptes bancaires, etc... par 
l'intermediaire du reseau telephonique . ou dlnternet), du commerce 
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electroniquc (achat de biens ou services par Tintermediaire d'un reseau 
public), du courrier electronique, du porte-monnaie electronique, etc... 

Ces applications, ainsi que d'autres, necessitant des transactions 
securisees sont bien connues des specialistes de la technique et ne sont pas 
5 decrites ici en details. 

Suivant leur nature, la securisation de ces applications necessite la 
mise en oeuvre d'un ou plusieurs services de securite tels que : 

- Tauthentification, qui permet de garantir Tidentite d'une entite 
(une personne ou un systeme) ; 

10 - le controle d'acces, qui confere une protection contre Tutilisation ou 

la manipulation non autorisee de ressources ; 

- la confidentiality qui interdit la divulgation de donnees a des 
entites non autorisees ; 

- l'integrite de donnees, qui assure que des donnees n'ont pas ete 
15 modifiees, supprimees ou substitutes sans autorisation ; 

- la non repudiation, qui assure qu'un participant a un echange de 
donnees ne pourra pas ulterieurement nier l'existence de cet echange. 

La combinaison de deux techniques existantes permet d'envisager la 
mise en oeuvre de ces services de securite, offrant ainsi un niveau de 
20 securite suffisant pour effectuer des transactions electroniques. 
II s f agit de : 

- la cryptographie a cle publique et cle privee, car elle permet de 
garantir la non repudiation et facilite la gestion des cles ; 

• la carte a circuit integre, ou a micro-circuit, car cllc est peu 
25 couteuse, facile a utihser et sure grace a des microprocesscurs specifiques 

dotes de protections materielles et logicielles permettant d ! interdire l'acces 
en lecture et en ecriture a leurs memoires. 

Les cartes a circuit integre offrent les services suivants : 

* Tauthentification du porteur ou utilisateur de la carte : cette 
30 operation permet d'authentifier le porteur a 1'aide d'un code confidentiel et 

a la carte d ! accepter par la suite la mise en oeuvre d'operations telles que 
Texecution d'algorithmes, la lecture de cles secretes, la lecture et/ou 
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1'ccriture de donnees dans la carte, qui peuvent en outre etre soumises a 
d'autres conditions de securite ; 

* la protection des donnees et fonctions stockees sur la carte a circuit 
integre. L'acces a la carte peut etre soumis a une authentification prealable 

5 de l'entite electronique demandant a y acceder. Cette authentification 
externe se fait generalement en mode challenge/reponse. Dans ce cas, 
l'entite dispose d'un parametre secret, ci-aprcs appele egalement secret, qui 
lui permet de calculer, en fonction d'un challenge emis par la carte, une 
reponse qui prouvera a la carte qu'elle est en possession du secret ; 

0 * execution d'algorithmes cryptographiques utilisant un parametre 

secret memorise dans la carte (chifFrement, authentification de message, 
signature) ; 

* authentification interne. Ce service permet a une application 
d'authentifier la carte. Ce service est l'inverse d'une authentification 
5 externe. La carte genere une reponse en fonction d'un challenge regu et 
d'un secret stocke dans la carte. 

Les services offerts par la carte a circuit integre sont mis en oeuvre 
sur reception de commandes dites elementaires, l'execution de la 
commande provoquant Tenvoi de reponses elementaires. Ces commandes 
elementaires concernent, par exemple, des calculs cryptographiques, la 
lecture ou Tecriture de donnees secretes ou non, des interventions de 
l'utilisateur (saisie de son code confidentiel personnel PIN, validation d'une 
transaction apres signature), les retours d'information vers l'utilisateur 
(affichage des messages a signer, par exemple). 

Certaines cartes offrent la possibilitc de verifier l'integrite, Torigine, 
voire la confidentialite des commandes cnvoyees a la carte. Ces services 
reposent sur des techniques d'authentification et de chiffrement des 
commandes. 

L'utilisation qui est faite actuellement des cartes a circuit integre (ou 
cartes a micro-circuit) offre un degre tres eleve de securite car les 
transactions sont essentiellement mises en oeuvre sur des reseaux prives et 
des terminaux (distribute urs automatiques de billets, terminaux points de 



2779018 

4 

vente par exemple) qui sont sous le controle d'une entite assurant la 
securite dc 1'enscmble du systerne. 

Dans de telles applications, les utilisateurs ou d'eventuels fraudeurs 
n'ont pas acces au logiciel d'application, ni aux mecanismes de securite 
5 materials et logiciels dont sont dotes les terminaux. 

Par contre, la mise en ceuvre de transactions securisees avec des 
cartes a circuit integre sur un reseau public suppose que les utilisateurs 
aient a leur disposition un module terminal lecteur de carte, etant donne 
que ces cartes a micro-circuit ne sont pas dotces d'unc source d'energie 
10 electrique propre et que leur mise en oeuvre rcquiert un lecteur susceptible 
de les alimenter et d'etablir une communication avec l'utilisateur et/ou des 
moyens electroniques exterieurs. 

A Theure actuelle, pour realiser une transaction sur un rcscau 
public, l'utilisateur dispose d'un terminal, qui peut etre un produit dedie, 
15 un ordinateur personnel, ou un ordinateur personnel couple a une carte a 
circuit integre par un lecteur de carte. 

Dans tous les cas, le systerne de transactions a la disposition de 
l'utilisateur est en general constitue de : 

• un fournisseur de services applicatifs pouvant etre, par exemple, un 
20 navigateur Internet, un logiciel de messagerie, un logiciel de banque a 

domicile ("Home banking"), 

• un fournisseur de services de securite de haut niveau permettant 
Texecution des mecanismes cryptographiqucs de bas niveau requis par 
l'application. 

25 Le fournisseur de services applicatifs cmet des requetes de services 

de securite dc haut niveau pour assurer la securite des transactions mises 
en oeuvre. 

Dans le cas ou Tapplication est implantee sur l'ordmateur personnel 
de l'utilisateur, les services cryptbgraphiques auxquels il est fait reference 
30 sont, par exemple, ccux definis par la Societe RSA Laboratories dans son 
standard "PRCS 11 : Cryptographic Token Interface Standard", ou encore 
les services cryptographiques offerts par le systerne Sexploitation Windows 
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NT de Microsoft, en particulier ceux proposes par ['Interface des 
programmes d'application (API) "Crypto API". 

Lorsque l'utilisateur ne dispose pas de lecteur de carte a -circuit 
integre, les services cryptographiques sont realises de maniere logicielle 
5 uniquement. 

Lorsque l'utilisateur veut ameliorer la securite, il utilise un lecteur 
de carte a circuit integre de type transparent connecte a son ordinate ur. Un 
lecteur de carte de type transparent est en fait un boitier d'interface entre 
Tordinateur et la carte a circuit integre qui permet de transmettre des 

10 commandes elementaires de l'ordinateur, provenant du fournisseur de 
services cryptographiques, vers la carte, et les rcponses elementaires de la 
carte vers 1'ordinateur. Un utilisateur peut, a 1'aide de ce terminal, 
(constitue de son module terminal - ordinateur + lecteur - couple a sa carte) 
effectuer des transactions electroniques (commerce electronique par 

15 exemple). 

Bien entendu, Pacces des utilisateurs a un tel terminal engendre des 
risques potentiels du point de vue de la securite. 

Les risques encourus seront d ! autant plus grands que les 
applications seront decentralisees. Et vice versa, les applications pourront 

20 etre d'autant plus decentralisees, que les risques cote terminaux seront 
maitrises. Par exemple, on peut envisager des applications de type porte- 
monnaie, dans lesquelles les transactions (debit de la carte acheteur/credit 
de la carte commergant) se feront de carte a carte, sans nccessiter une 
consolidation des transactions au niveau d'un serveur central. 

25 II resulte de ce qui precede, qu'un terminal peut potentiellement 

contcnir un ensemble d'information^, voire des logiciels, sur la 
confidentiality et Tintegrite desqucls repose la securite de Tapplication. 
Comme exemple, on peut citcr des cles secretes utilisees pour 
Tauthentification du module terminal vis-a-vis de la carte, ou pour lc 

30 chiffrement de donnees entre un serveur et le module terminal lecteur de 
carte. Or, un fraudeur peut profiter du fait d'avoir a sa disposition un 



3NSDOCID: <FR 2779018A1_L> 



2779018 

6 

terminal pour analyser son fonctionnement et acceder aux informations et 
logiciels confide ntiels. 

II faut egalement noter que les applications auxquelles il est fait 
reference ici, telles que le commerce ou le courrier electronique, sont la 
5 plupart du temps mises en oeuvre a travers le reseau Internet. II est bien 
connu des experts qu'un ordinateur personnel ou PC connecte au reseau 
Internet est tres vulnerable aux logiciels de type virus, qui peuvent etre 
installes et executes sur le PC de lutilisateur sans meme qu'il le sache et 
sans qu il ait laisse un acces physique a son ordinateur a qui que ce soit. Le 

10 cote totalement invisible de ce type de menace represente le reel danger qui 
limite a Fheure actuelle le deploiement des applications transactionnelles 
utilisant Internet. Les memes commentaires peuvent s appliquer aux 
applications de commerce electroniques envisagees a partir des reseaux 
cables de television en utilisant des decodeurs ou "set-top box" raccordes au 

15 poste de television et comportant un ou deux lecteurs de cartes a puce. 
Les risques au niveau du systeme sont alors les suivants : 

• Attaque sur Tintegrite du fournisseur de services 
cryptographiques et du fournisseur de services applicatifs visant a 
modifier le comportement du module terminal : a titre d'exemple, le 

20 module terminal est modifie de maniere a capturer les informations liees a 
la carte, stocker les informations obtenues pour ensuite les coinmuniquer a 
un faux serveur. Cette attaque peut etre realisee a 1'insu die Tutilisateur 
legitime (substitution du modxile terminal de Tutilisateur ou pret d'un 
module terminal modifie). Cette attaque peut ensuite se generaliser sous 

25 la forme de la diffusion de modules terminaux contrefaits ; 

• Attaque sur la confidcntialite du fournisseur de services 
cryptographiques, visant a se procurer les cles cryptographiques qu'il 
manipule, lesquelles cles sont par exemple stockees sur le disque dur d'un 
ordinateur. 

30 ♦ Attaque vis-a-vis d f autres cartes, hasee sur une capacite a pouvoir 

s f authentifier vis-a-vis de ces cartes, grace aux secrets decouverts par une 
attaque sur la confidentiality du fournisseur de services. 
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• Attaque sur Fintegnte et la confidentialite des communications 
entre les differentes entites (fournisseurs de services applicatifs, 
fournisseurs de services cryptographiques, lecteur de carte a circuit 
integre, carte a circuit integre, serveur) permettant de rompre la chaine de 

5 confiance etablie entre ces elements . Par exemple: 

1 - dechiffrement des communications entre serveur et 

terminaux ; 

2 - insertion d'un logiciel tiers entre le fournisseur de services 
applicatifs et le fournisseur de services cryptographiques visant a rompre 

10 la chaine de confiance entre ces deux logiciels ou bien substitution du 
logiciel applicatif par un logiciel tiers visant a faire executer au fournisseur 
de services de securite des requetes de securite dans un but different de 
celui de F application connue de Tutilisateur. 

• Attaque sur les serveurs (dans le cas d'une application en mode 
15 connecte) : connexion d'un terminal contrefait a un serveur, emulation 

d'un couple module terminal-carte a circuit integre pour obtenir des 
avantages. 

Ainsi, une attaque sur la chaine de confiance entre le foxarnisseur de 
services cryptographiques et le fournisseur de services applicatifs, dans le 
20 cadre d'une application requerant la signature dune transaction 
electronique a Taide d'une carte a circuit integre, est illustree ci-apres. Le 
deroulement de la transaction est le suivant : 

- Etape 1 : verification du code confidentiel personnel (PIN) de 
Tutilisateur, que celui-ci introduit par un clavier associe a son module 

25 terminal, le code introduit etant transmis a la carte pour verification par 
cette dernierc. 

- Etape 2 : authentication du module terminal. Co dernier envoie 
une commando "demande challenge". (Un challenge est un nombre 
aleatoire ou pscudo-aleatoire). La carte a circuit integre genere le challenge 

30 et le transmet au module terminal Le module terminal envoic a la carte 
une commande "authentication externe" accompagnee d'une reponse 
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constitute du challenge chiffrc par unc clc dctenuc par le module terminal. 
La carte a circuit integre verifie alors la reponse rogue. 

- Etape 3 : si les etapes 1 et 2 se sont deroulees de maniere satisfaisante, la 
carte a circuit integre est prete a recevoir et executer la commande 
5 signature, e'est-a-dh'e une commande de chiffrement, au moyen d'une clc 
secrete stockee dans la carte, du resultat dune operation de hachage 
realisee sur la transaction saisie par l'utilisateur. Apres ce chiffrement, la 
carte emet, a destination du module terminal, la signature constitute du 
resultat de Toperation de hachage. ("hash") ainsi chiffrc. 

10 Si 1'integrite du logiciel duplication (fournisseur de services 

applicatifs et son fournisseur de services cryptographiques) n'est pas 
assuree, un fraudeur n'a pas besoin de connaitre les cles et codes secrets 
pour pirater le systeme de transaction : il lui suffit d'implanter dans le 
module terminal, par exemple dans Tordinateur personnel auquel est 

15 raccorde un lecteur de carte a circxiit integre, un logiciel de type virus qui, a 
l'etape 3, detoume les donnees authentiques a signer et envoie a la carte 
des donnees falsifiees. Etant donne que les etapes 1 et 2 se sont deroulees 
de maniere satisfaisante, la carte signera alors les donnees falsifiees sur la 
base du PIN que l'utilisateur a lui-merne introduit et celui-ci croira que la 

20 carte va signer ses propres donnees. 

L'exemple precedant montre la neccssite de proteger non seulement 
les informations confide ntielles mises en oeuvre dans le cadre dune 
transaction, mais aussi 1'integrite de la transaction, e'est-a-dire lmtegrite 
du comportement de chaque entite intervenant dans la transaction, ainsi 

25 que lmtegrite du comportement d'ensemble du logiciel cn veillant a la non 
rupture de la chaine de confiance etablie entre les differentes entites. 

Les risques d'attaque mentionncs ci-dessus sont a Theure actuelle en 
partie couverts par des terminaux - lecteurs de carte a circuit integre 
integrant des modules de securite (SAM, analogue a une carte a circuit 

30 integre) qui sont utilises notamment dans le cadre des applications porte- 
monnaie. Le lecteur est alors personnalise par un SAM, et attribue a un 
commerpant, les cartes lues etant celles des clients. Ce SAM contient des 
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informations secretes et est susceptible d'executer des algorithmes utilisant 
ces informations secretes. Mais, il ne contient pas de moyens permettant 
notamment de piloter les communications avec l'utilisateur, avec la carte a 
circuit integre et/ou avec des moyens electroniques exterieurs, et done la 
5 securisation de transaction n'est pas assuree. 

II est egalement connu par le document WO 95/04328 un module 
terminal comprenant des moyens d'interface avec l'utilisateur et des 
moyens d'interface avec des moyens electroniques exterieurs (ci-apres 
appeles moyens d'interface cxtcrnc), comportant unc interface avec une 
10 carte a micro-circuit. Le microprocesseur du module terminal comprend des 
moyens de stockage de donnees (ROM, EEPROM, RAM). Les donnees 
stockees en memoire permanente (ROM) comprennent entre autres un 
systeme d'exploitation, des gestionnaires de composants externes pilotant 
les interfaces et peripheriques, et un interpreteur capable d'interpreter des 
modules programmes ecrits dans un lan gage specifique. Les modules 
programmes sont stockes dans la memoire semi-permanente EEPROM et 
peuvent etre charges en memoire temporaire RAM pour etre executes par 
le microprocesseur lors de l'activation d f une interface appropriee par 
Tutilisateur. Les modules programmes, correspondant aux applications du 
module terminal, sont telecharges dans la memoire EEPROM du 
microprocesseur ou dans une carte a micro-circuit a partir d'un serveur 
externe. 

Le module terminal du document WO95/04328 peut fonctionner : 

- en mode module terminal autonome, le microprocesseur du module 
terminal executant un module programme stocke dans une memoire 
interne, sans faire appel a une carte a circuit integre ; 

- en mode terminal autonome, dans lequel un module programme 
stocke dans une carte est execute ; 

- .en mode terminal etendu ou connecte, dans lequel le 
microprocesseur du module terminal ou celui de la carte execute un module 
programme et une communication est etablie via le telephone, un modem 
ou une liaison directe avec un fournisseur de services ou un serveur ; 
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- en mode lecteur de carte a memoire transparent, dans lequel des 
instructions re?ues par une liaison serie sont transrnises directement a la 
carte et vice et versa. 

Le terminal decrit au document WO 95/04328 ne traite pas des 
5 problemes de securite vises par Finvention dans la mesure ou il ne decrit 
pas comment securiser une transaction en garantissant lmtegrite du 
comportement d'ensemble du logiciel executant la transaction. II ne decrit 
notamment pas de moyens permettant Texecution de requetes de haut 
niveau emises par Tapplication, ni comment garantir Torigine, 1'integrite et 

10 la confidentiality de ces moyens. 

La presente invention vise a fournir un terminal pour la mise en 
oeuvre de transactions electroniques : securisees, du type comprenant un 
dispositif personnel de securite tel qu'une carte a circuit integre ou autre 
dispositif remplissant les memes fonctions, et un module terminal dote de 

15 moyens d'interface avec le dispositif personnel de securite, tels qu'im 
lecteur de carte a circuit integre, et offrant de par son arcKitecture logicielle 
et/ou materielle et les mecanismes de securite qu ! il comporte, un niveau de 
securite ameliore, compatible avec le fait que le terminal peut etre place 
sous le controle des utilisateurs, (par opposition a des terminaux controles 

20 par des operateurs). 

Un deuxieme objectif de Tinvention est d'assurer ce meme niveau de 
securite tout en permettant ^integration, en cours d'utilisation, de fonctions 
ou applications nouvelles, ou 1 'evolution des fonctions ou applications 
existantes sans avoir recours a une multitude de modules terminaux 

25 differents ou au changement des modules terminaux lors des evolutions. 

A cet effet, Tinvention a pour objct un terminal pour la mise en 
oeuvre, par un utilisateur, de transactions electroniques securisees en 
liaison avec au moins une application irnplantec sur une unite 
electronique, ledit terminal comprenant : 

30 - un module terminal comportant au moins : 
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• des premiers moyens d'interface avec ladite application 
pour en recevoir des requetes relatives auxdites 
transactions, 

• des deuxiemes moyens d'interface avec ledit utilisateur, 

• des troisiemes moyens d'interface avec un dispositif 
personnel de securite, 

• des premiers moyens de traitement de donnees comprenant 
au moins des premiers moyens logiciels de pilotage desdits 
moyens d'interface, et 

- un dispositif personnel de securite comportant au moins des 
deuxiemes moyens de traitement de donnees securisees comprenant au 
moins des deuxiemes moyens logiciels d'execution de commandes 
elementaires et des moyens d'execution de calculs cryptographiques, 
caracterise en ce que : 

- ledit terminal est adapte pour recevoir lesdites requetes de ladite 
application implantee sur ladite unite electronique sous la forme de 
requetes de haut niveau independantes dudit dispositif personnel de 
securite, 

- Tun au moins dudit module terminal et dudit dispositif personnel 
de securite comprend : 

• au moins une memoire reprogrammable de stockage d ! au 
moins un logiciel filtre, traduisant lesdites requetes de 
haut niveau en sequences d'echange de donnees entre ledit 
module terminal et ledit utilisateur via lesdits seconds 
moyens d'interface, executables par lesdits premiers 
moyens logiciels desdits premiers moyens de traitement de 
donnees, et en sequences de commandes elementaires 
executables par lesdits deuxiemes moyens de traitement 
de donnees, et 

• des moyens de protection dudit logiciel filtre pour 
empecher toute lecture et/ou modification dudit logiciel par 
une personne non autorisee, et 
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- Tun au moins desdits premiers et deuxiemes moyens de traitement 
de donnees comprend un dispositif de traitement de donnees pour 

" l'execution dudit logiciel filtre. 

L'invention definie ci-dessus permet d'atteindre les objectifs de 
5 securite requis par la mise en oeuvre de transactions electroniques grace 
au fait qu'elle decrit un filtre ou pare-feu (" firewall ") entro le monde 
exterieur, c'est-a-dire les applications elles-memes, et les moyens de 
securite et peripheriques quil gere, au moyen d'une interface logique 
permettant la definition du format des requetes de haut niveau ernises par 
10 les applications et d'un logiciel de traduction assurant le traitement de ces 
requetes. 

De preference, le terminal suivant Tinvention comprend une ou 
plusieurs des caracteristiques suivantes, eventuellement combinees : 

- ledit dispositif d f execution du logiciel filtre comprend des premiers 
15 moyens d'identification et/ou d'authentification de ladite application 

implantee dans ladite unite ou de Torigine desdites requetes emises par 
ladite application ; 

- ledit dispositif de traitement de donnees pour l'execution dudit 
logiciel filtre comprend des. moyens de verification de Tintegrite des 

20 donnees regue de ladite application ; 

- ledit dispositif de traitement de donnees pour Texecution dudit 
logiciel filtre comprend des moyens centralises de controle des conditions 
d'utilisation des services du dispositif personnel de securite, en fonction de 
ladite application et/ou dudit utilisateur ; 

25 - ledit dispositif de traitement de donnees pour Texecution dudit 

logiciel filtre comprend : 

• des moyens pour commander le chargement securise dudit 
logiciel filtre dans ladite memoire programmable, via l'un 
desdits premiers ou troisiemes moyens d'interface, a partir 
30 d'une entite exterieure audit module, et 
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♦ des premiers moyens de controle d'acces pour n'autoriser 
ledit chargement dudit logiciel filtre qu'en reponse a au 
moins une condition predefinie ; 

- le terminal comprend des deuxiemes moyens d'authentification 
desdits premiers moyens de traitement de donnees par lesdits deuxiemes 
moyens de traitement de donnees ; 

- le terminal comprend des troisiemes moyens d'authentification 
desdits deuxiemes moyens de traitement de donnees par lesdits premiers 
moyens de traitement de donnees ; 

- le terminal comprend un premier canal de communication entre 
lesdits premiers et deuxiemes moyens de traitement de donnees et des 
premiers moyens de securisation dudit premier canal de communication ; 

- le terminal comprend des quatrieme moyens d'authentification 
dudit module terminal par ledit utilisateur, independamment de ladite 
carte ; 

- lesdits quatriemes moyens d'authentification comprennent des 
moyens de calcul, par lesdits premiers moyens de traitement de donnees, et 
de presentation audit utilisateur, via lesdits deuxieme moyens d'interface, 
d'un mot de passe connu dudit utilisateur et calcule sur la base d'au moins 
un premier parametre secret stocke dans lesdits premiers, moyens de 
traitement de donnees ; 

- terminal comprend des cinquiemes moyens d'authentification 
conjointe dudit module terminal et de ladite carte par ledit utilisateur ; 

- lesdits cinquiemes moyens d'authentification comprennent des 
moyens de calcul, par ledit dispositif d'execution dudit logiciel, et de 
presentation audit utilisateur, via lesdits deuxiemes moyens d'interface, 
d'un mot de passe connu dudit utilisateur et calcule sur la base d'au moins 
un deuxieme et un troisieme parametres secrets stockes respective me nt 
dans lesdits premiers et deuxiemes moyens de traitement de donnees. 

Selon une premiere forme de realisation de Tinvention, le module 
terminal est constitue par un ordinateur personnel et ladite memoire 
programmable est constitute par le disque dudit ordinateur, ledit logiciel 
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filtre est execute sur Tordinateur personnel ou bien dans un deuxieme 

mode dexecution, ladite memoire programmable est implantee sur un 

serveur securise relie a Tordinateur personnel, la partie du logiciel filtre 

devant etre protege etant executee sur ledit serveur securise. 

5 Selon une deuxieme forme de realisation de Tin vention, le module 

terminal est un dispositif, tel^qu'un lecteur dedie de carte a circuit integre, 
auquel cas ledit dispositif personnel de securite est une carte a circuit 
integre, ou un ordinateur personnel. Ce mode de realisation se differencie 
du precedent par le fait que ladite memoire programmable est integree 
10 dans un microprocesseur securise, ledit logiciel filtre etant execute dans 
ledit microprocesseur securise. Le module terminal dedie peut 
eventuellement etre portable. 

Selon les modes d'execution de cette deuxieme forme de realisation 
de 1'invention, la memoire programmable pour le chargement et le stpckage 
15 du logiciel filtre peut etre disposee dans le dispositif personnel de securite 
ou dans le module terminal. 
Dans ce dernier cas : 

- le module terminal peut comporter un seul microprocesseur pour 
l'execution du logiciel filtre et le pilotage des interfaces, ou bien deux 

20 microprocesseurs remplissant respectivement Tune et 1'autre de ces deux 
fpnctions. 

• de preference ledit logiciel filtre comprend au moins un parametre 
secret et lesdits deuxiemes moyens de traitement de donnees comprennent 
des seconds moyens de controle d'acces conditionnels pour n'autoriser 
25 1'execution desdits calculs cryptographiques, en reponse a des commandes 
elementaires generees par ledit logiciel filtre, que si au moins une seconde 
condition predefinie, fonction dudit parametre secret est remplie 

Selon d'autres caracteristiques de Tinvention, lorsque le module 
terminal comporte deux microprocesseurs pour l'execution du logiciel filtre 
30 et le pilotage des interfaces : 

- le terminal comprend un deuxieme canal de communication entre 
lesdits premiers moyens logiciels de pilotage des moyens d'interface et ledit 
deuxieme microprocesseur et des deuxiemes moyens de securisation dudit 
deuxieme canal de communication ; 

35 - lesdits deuxiemes moyens de securisation comprennent des moyens 

de chifErement et dechiffrement, par lesdits premiers moyens logiciels de 
pilotage des moyens d'interface et ledit deuxieme microprocesseur, des 
donnees transmises sur ledit deuxieme canal de communication, sur la 
base d'au moins un cinquieme parametre secret memorise dans lesdits 

40 moyens de stockage ; 

-lesdits deuxiemes moyens de securisation comprennent des 
premiers moyens physiques de protection dudit deuxieme canal de 
communication contre les intrusions. 

Differents modes de realisation de Tinvention seront maintenant 

45 decrits en se referant aux dessins annexes, en particulier des modes de 
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realisation dans lesquels le logiciel filtre est charge et execute dans le 
terminal de maniere a garantir a la fois son origine, sa confidentiality et 
son integrite, ce logiciel pouvant aussi authentifier Torigine des requetes 
qui lui sont envoyees, si la confiance dans les interfaces avec l'utilisateur, 
5 c'est-a-dire Tecran et le clavier, ne peut etre garantie. 

- la Figure 1 est un schema illustrant Tarchitecture fonctionnelle 
d'un systeme pour la mise en ceuvre de transactions securisees au moyen 
d'un terminal selon Tinvention ; 

- la Figure 2A presente une premiere forme de realisation de 
10 Tinvention ou le terminal est un ordinateur personnel couple a une carte a 

circuit integre par un lecteur, l'application pouvant etre elle meme 
implantee sur Tordinateur personnel ou sur un serveur distant. 

- la Figure 2B decrit Tarchitecture fonctionnelle dune variante 
d'execution de la premiere forme de realisation de Tinvention, dans laquelle 

15 Tordinateur personnel servant de terminal est en liaison avec un serveur 
de securite sur lequel est implante le logiciel filtre ; 

- la Figure 3 presente un systeme de transaction mis en oeuvre grace 
a un terminal selon une deuxieme forme de realisation de Tinvention, qui 
peut etre un produit dedie relie en tant que peripherique a un ordinateur 

20 personnel ou directement a un serveur ou bien construit autour d'un 
ordinateur personnel ; 

- la Figure 4A est un schema bloc de Tarchitecture mateiielle des 
circuits electroniques d f un premier mode d'execution du terminal de la 
figure 3 ; 

25 - la Figure 4B est un schema fonctionnel illustrant une premiere 

configuration d'architecture logicielle du terminal de la figure 4A ; 

-la Figinre 4C est un schema fonctionnel similaire a celui de la figure 
4B presentant une seconde configuration d f architecture logicielle du 
terminal de la figure 4A ; 

30 " la Figure 5 est un schema bloc de Tarchitecture materielle des 

circuits electroniques dun deuxieme mode d'execution du terminal 
autonome de la figure 3 ; 

- la Figure 6 est un schema bloc de Tarchitecture materielle des 
circuits electroniques dun troisieme mode d'execution du terminal 

35 autonome de la figure 3 ; 

- la Figure 7 est un schema illustrant Tarchitecture logicielle 
conventionnelle d'une carte a micro-circuit ; 

- la Figure 8A est un schema illustrant Tarchitecture logicielle d'un 
systeme de transaction comprenant le terminal de la figure 4A ; 

40 " la Figure 8B est un schema illustrant Tarchitecture logicielle d*un 

systeme de transaction comprenant le terminal de la figure 6 ; 
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- la Figure 9 est un diagramme illustrant la mise en oeuvre d'une 
application de commerce electronique au moyen d'un systeme selon 
l'invention ; et 

- la Figure 10 est un organigramme illustrant le processus de 
5 telechargcmcnt d'un programme dans une memoire reprogrammable du 

module terminal de la figure 4A ou 5, ou d'une carte a micro-circuit 
connectee a celui-ci ; 

En se referant a la figure 1, un systeme de mise en oeuvre de 
transactions securisees comprend un module terminal 1 de lecture d'une 

10 carte a circuit integre 31 ou equivalent. Le module terminal 1 comprend un 
filtre F constitue d'un module logiciel traitant des requetes de haut niveau 
emises par des fournisseurs de services applicatifs FAp externes au module 
terminal 1 au moyen d'une interface logique F^API, et des interfaces 
utilisateur telles qu'un ecran d'affichage 4 et un clavier 5 per-mettant la 

15 lecture et 1'introduction de donnees par un utilisateur. II comprend 
egalement un lecteur ou interface de communication 6 avec une carte a 
micro-circuit ou tout dispositif de securite equivalent personnel a 
1' utilisateur, du type jeton (token), " JavaRing " (produit de la societe SUN), 
" iButton " (produit de la societe Dallas Semiconductor Corporation), jeton 

20 logiciel (soft token), ainsi que des interfaces de communication avec au 
moins un fournisseur de services applicatifs FAp qui peut, par exemple, 
etre implante sur un ordinateur personnel PC et/ou sur un serveur Sap , 
lechange de donnees s effectuant alors via un reseau R de transmissions de 
donnccs ou de telecommunications. 

25 Le module terminal 1 peut etre un terminal dedie ou etre intcgrc 

dans un ordinateur personnel de type PC, ou bien dans un ordinateur- 
terminal NC dedie aux applications en reseau (Network Computer) ou 
encore dans un decodeur de reseau de television cable (Set Top Box). 

Le module terminal 1 peut eventuellement etre utilise en mode 

30 autonome, par exemple pour lire des informations, telles que le contenu 
d'un porte-monnaie electronique, contenues dans une memoire de la carte 
31. 
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Pour la raise en oeuvre de transactions securisees, le module 
terminal 1 peut etre utilise en mode connecte avec un serveur Sap ou en 
mode non connecte, Tapplication FAp etant alors executee localement, par 
exemple sur l'ordinateur personnel PC : Tel est le cas, par exemple, 
lorsqu'un utilisateur doit signer un coufrier electronique ou des 
transactions qui seront envoyees a un destinataire. Une telle operation 
n'implique pas de connexion avec un serveur applicatif au moment ou la 
carte 31 est utilisee. 

En mode connecte, comme represents a la figure 3 dans le cas d'un 
module terminal 1 dedie, celui-ci peut etre connecte au serveur Sap sur 
lequel est implante Implication FAp par 1'intermediaire de l'ordinateur PC 
et d'un reseau R tel qulnternet, ou par 1'intermediaire du reseau 
telephonique R via un modem MO ou une liaison DTMF avec un combine 
telephonique CT. Certaines transactions, telles que le rechargement d'un 
porte-monnaie electronique dans la carte 31, peuvent n£cessiter un 
echange bidirectionnel de donnees avec le serveur Sap et sont, par 
consequent, plus ergonomiques en mode connecte. 

La mise en oeuvre d*une transaction securisee avec un module 
terminal 1 et une carte 31 implique que des requetes logicielles de haut 
niveau (par exemple signature, authentication , etc..) soient transmises 
du programme applicatif implante par exemple dans le serveur Sap (mode 
connecte) ou dans Tordinateur personnel PC ou NC a la disposition de 
1'utilisateur (mode non connecte, par exemple signature de courrier 
electronique), au filtre F assurant le pilotage des moyens de securite. Ce 
filtre F effectue le traitement de ces requetes au moyen dun logiciel dc 
traduction, s'assurant ainsi que Tapplication ou tout autre logiciol de typo 
virus ne peuvent avoir un acces direct aux fonctions cryptographiques de la 
carte a circuit integre 31. 

Le filtre F repond aux objectifs de securite recherches dans la 
mesure ou le logiciel de traduction qu'il comporte verifie Tidentitc dc 
lapplication emettant les requetes de services ( ou directement Torigine des 
requetes) et est implante de maniere a garantir 1'integrite et la 
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confide ntialite dos operations et donnees elementaires mises en oeuvre 
pour repondre aux requetes de services. 

Un logiciel de traduction est un logiciel configure pour un type de 
carte a micro-circuit et traduit des requetes de haut niveau re?ues des 
5 logiciels ^application en sequences de commandos elementaires 
executables par les cartes a micro-circuit et en sequences d'echanges de 
donnees avec l'utilisateur. 

Les requetes de haut niveau sont une liste de commandes utilisees 
par les programmes applicatifs pour faire appel aux services de,,securite 

10 necessaires pour identifier et authentifier la personne realisant la 
transaction et garantir l'origine, l'integrite et eventuellement la non- 
repudiation de la transaction. Une requete de haut niveau provenant d'une 
application (se trouvant sur un serveur ou sur Tordinateur personnel PC ou 
NC) est caracterisee par le fait que : 

15 - elle est independante des moyens de base (moyens 

cryptographiques par exemple) mis en oeuvre pour satisfaire a sa demande. 
Ainsi, une requete de haut niveau peut s'appuyer sur des moyens purement 
logiciels. Reciproquement, plusieurs apphcations peuvent utiliser le meme 
fournisseur de services de securite, faisant alors appel a la meme interface 

20 logique F-API definissant ces requetes. 

- le traitement de la requete permet de lier la transaction de maniere 
certaine a . l'utilisateur effectuant la transaction a l'aide d f au moins un 
parametre secret, fixe ou variable, fourni par la carte a circuit integre de 
l'utilisateur. 

25 - elle comporte eventuellement une information ou des informations 

permettant au logiciel filtre F de verifier son origine et son integrite. 
Uauthentification peut se faire a l'aide dun code de type "Message 
Authentication Code ou MAC " ou bien de type " signature electronique " 
associe a la requete. 

30 - dans le cas ou la transaction n'est pas saisie par l'utilisateur sur le 

module terminal lui-meme, la requete contient eventuellement 
Tinformation necessaire pour permettre a l'utilisateur de verifier, s'il le 
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souhaite et si le module terminal supporte cette option, les donnees 
essentielles de la transaction. 

L'interface logique F-API permettant Fechange des requetes de 
securite de haut niveau entre les applications et le logiciel de traduction du 
filtre F peut etre standardises de maniere a etre commune a differents 
programmes applicatifs. Ainsi, la requete de type " Signature " peut etre 
utilisee par une messagerie electronique ou par un logiciel d'achat. II est 
ainsi possible de changer Fapplication tout en conservant le fournisseur de 
services de securite ou reciproqueinent de remplacer le fournisseur de 
services de securite sans modifier Fapplication. 

Afin de garantir Fintegrite de la chaine de confiance eritre 
l'application et la carte, le logiciel filtre F de traduction identifie, voire 
authentifie Forigine et Fintegrite des requetes qu'il regoit. Differentes 
methodes peuvent etre envisagees pour identifier Fapplication emettant les 
requetes ; 

- un code ^identification peut etre integre dans la requete elle- 
meme puis verifie par le logiciel filtre a partir des informations qu il 
contient ou qui peuvent etre stockees dans la carte a circuit integre ; 

• le meme but peut etre atteint en comparant le resultat dune 
operation de hachage execute par le logiciel filtre sur le logiciel applicatif 
emettant la requete avec un resultat prealablement stocke dans la carte 
par exemple. Cette derniere solution est particulierement adaptee au cas 
ou Fapplication est implantee sur le PC de Futilisateur ; 

- Fauthentification peut egalement etre realisee en associant a la 
requete un code de type " MAC " calcule a partir du contenu de la requete 
et d'une cle secrete partagee entre Fapplication et le logiciel filtre. Un 
principe equival* it peut etre utilise avec une signature de la requete 
calculee avec les memos informations et une cle privee connue de 
Fapplication, la signature etant verifiee avec la cle publique correspondante 
connue du logiciel filtre. 

La figure 2A decrit une premiere forme de realisation pour laquelle 
le module terminal 1 est un ordinateur personnel PC 102, la liaison avec la 
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carte a circuit integre 31 s'effectuant au moyen cTun lecteur 6 connecte ou 
integre a 1'ordinateur PC 102. L'ordinateur personnel 102 coxnprend des 
interfaces d'entree/sortie 102a avec le lecteur 6 et le serveur Sap. Suivant 
la nature du lecteur connecte au PC, les elements ^interface avec 
5 l'utilisateur peuvent etre le clavier et Fecran du PC lui-meme, ou bien un 
clavier et/ou un afficheur de type LCD par exemple implante sur le lecteur. 
Dans ce mode de realisation, le filtre F est implante et execute sur 
l'ordinateur PC 102. Le filtre F, et done le logiciel de traduction quil 
contient, peut alors etre stocke sur le disque dur HD 102b de l'ordinateur 

10 personnel 102. Pour etre execute par Tunite de calcul ou microprocesseur 
102c du PC, le logiciel filtre est ensuite charge dans la memoire vive RAM 
102d de Fordinateur personnel 102. 

Le disque dur d'un ordinateur PC etant difficile a proteger, le logiciel 
filtre F, ou tout au moins la partie sensible de ce logiciel, peut etre chiffre. 

15 Pour cela il peut etre decompose en au moins 2 modules : un module de 
chargement/dechiffrement Fed et un deuxieme module correspondant au 
logiciel filtre lui-meme chifire, Fchi. Le premier module perrnet le 
chargement du deuxieme module en memoire RAM, son dechiffrement, 
puis le lancement de son execution. En se referant a la Figure 2A, le 

20 module logiciel dechiffre et charge en RAM est nomme Fdec. 

^utilisation d f un langage de programmation tel que Java, par des 
mecanismes de securite intrinseques au langage lui-meme, perrnet de 
renforcer la protection du logiciel 

Une autre methode de verification de l'intcgrite du logiciel filtre est 

25 de faire signer le deuxieme module par une autorite garante du contenu du 
logiciel filtre au moyen d'une cle privee conservee secrete par cette autorite. 
Le premier module de chargement effectue alors, simultanement a 
Operation de dechiffrement, une operation de hachage sur le deuxieme 
module et verifie la signature de ce module au moyen de la cle publique 

30 associee a la cle privee de Tautorite. 

Lensemble des operations decrites dans les paragraphes precedents 
implique Tutilisation de cles sur lesquelles reposent la securite de 
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l'application. Ces cles peuvent etre cachees dans le module de chargement, 
stockees dans le lecteur 6, ou bien stockees dans la carte a circuit integre 
31 elle -meme. Un autre mode de realisation possible consiste a implanter 
le module de dechiffrement et de verification d'integrite dans le lecteur 6. 

L'objet de Finvention est de s'assurer qu'un pirate ne puisse pas 
utiliser la carte a circuit integre d'un utilisateur a son insu, par exemple en 
modifiant le logiciel filtre pilotant la carte ou le logiciel application, ou bien 
en implantant un logiciel virus qui court : circuiterait l'application ou le 
logiciel filtre mis en place. Le mode de realisation decrit precedernment et 
ses variantes repondent a ces risques, en permettant la verification: 

- de l'integrite du logiciel filtre et 

- de Torigine et de l'integrite des commandes envoyees a la carte a 
travers lc lecteur 6, en les authentifiant a Taide d*un code de type MAC par 
exemple. La verification du MAC peut etre effectuee par le lecteur 6 ou la 
carte 31. Une protection equivalente pourrait etre obtenue en chiffrant le 
dialogue entre le logiciel filtre et le lecteur 6. Un logiciel virus cherchant a 
court-circuiter le logiciel filtre enverrait done des commandes non 
authentifiees ou incorrectement chiffrees au lecteur 6 ou a la carte 31 ; en 
consequence ces commandes seraient rejetees par le lecteur ou la carte, 
empechant le virus d'arriver a ses fins. Afin qu'un fraudeur ne puisse 
determiner les cles utiliwsees sur un terminal en analysant lc 
fonctionnement dun autre terminal les cles devront otro divcrsifioes. 

Les mecanismes de chiffrement et de signature qui peuvent etre 
envisages pour repondre au besoin de protection du logiciel filtre sont bien 
connus des hommes de Fart et reposent sur les techniques 
cryptographiques existantes exposees, par exemple, dans Touvrage de 
Bruce Schneier intitule "Applied Cryptography, Protocols, Algorithms, and 
Source Code in C" publie chez John Wiley and Sons, Inc., 1994, et qui ne 
seront done pas decrits en detail ici. 

L'implantation du logiciel filtre dans un ordinateur personnel PC ne 
permet pas de garantir le meme degre de securite qu'une implantation 
dans un terminal dedie pouvant offrir des mecanismes de securite 
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materiels supple mcntaires comme decrit dans les autrcs formes de 
realisation presentees ulterieurement, ces mecanismes procurant une 
protection physique au logiciel filtre et a ux secrets qu'il contient. 

Une variante d'execution du mode de realisation de la figure 2A est 
5 presente a la figure 2B. Cette variante met a profit la souplesse et la 
facilite de connexion d'un ordinateur personnel a un reseau. Cette 
connexion permet en effet le deport d'une partie du logiciel filtre, et en 
particulier des secrets, dans un serveur securise Ssec. 

Dans le cas de la Figure 2B, le logiciel filtre est decompose en deux 

10 modules logiciels, un module F-PC implante sur Tordinateur personnel PC 
102 et un module F-SE implante sur un serveur de securite Ssec. La 
memoire programmable a laquelle il est reference precedemment et 
stockant le logiciel filtre, est done dans cette variante d'execution 
implantee dans le serveur securise Ssec, e'est-a-dire hors d'atteinte 

15 d'utilisateurs non autorises. .De meme, le logiciel filtre, ou tout au moins la 
partie sensible du logiciel filtre F-SE requerant une protection, est execute 
sur le serveur securise Ssec. 

Le module logiciel F-PC implante sur Tordinateur personnel PC 102 
est relie par un canal securise CS au serveur de securite Ssec. Ce canal 

20 securise est en fait un canal de communication chiffre permettant un 
echange de donnees protege entre les deux modules logiciels filtre F-PC et 
F-SE et eventuellement une authentification reciproque des deux modules 
F-PC et F-SE. Ce canal securise peut, par exemple, reposer sur des 
protocoles de communication bien connus tels que SSL. 

2f> Letablissement de ce canal securise CS permet done au premier 

module logiciel filtre F-PC de transmettre au deuxieme module logiciel 
filtre F-SE, les requetes regues de Tapplication FAp a travers Tinterface 
logique F-API, ainsi que les informations liees a Tidentification de 
Tapplication emettant ces requetes. Ce deuxieme module logiciel F-SE va 

30 ensuite, apres avoir verifie les informations relatives a Tapplication et, en 
fonction de Tapplication et eventuellement de des droits de Tutilisateur, 
traduire ces requetes en une suite de commandes destinees a la carte a 
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puce 31 et au pilotage des echanges de donnees avec l'utilisateur. Ces 
commandes crees par le module F-SE sont ensuite envoyees au premier 
module F-PC qui les aiguille vers Telement concerne : le PC lui meme pour 
ce qui concerne les commandes de pilotage des echanges avec l'utilisateur 
ou bien la carte a circuit integre. Pour que les commandes de pilotage des 
echanges avec l'utilisateur puissent etre executees sur le PC, le PC devra 
comporter un module logiciel I, dit interpreteur. Ce logiciel interpreteur 
permet l'affichage de messages sur Tecran 4 et la saisie d'information par 
l'utilisateur sur le clavier 5. Ce module logiciel interpreteur sera plus 
precisement decrit en regard des figures 4B et 4C. 

Ce second mode d'execution est base sur les mecanismes decrits a 
propos du premier mode d'execution de la figure 2A en ce qui concerne 
1 identification de l'application (hachage ou signature par exemple) et la 
protection des commandes envoyees a la carte (ajout d'un code de type 
authentication de message MAC, par exemple). II offre par contre un 
degre de securite superieur dans la mesure ou le module logiciel filtre F-SE 
assurant la traduction des requetes de haut niveau re?ues de Tappliciation 
Fap est execute dans un environnement securise. Dans le contexte de 
linvention, le servetu* Ssec est dit securise s'il n'est pas accessible 
physiquement ainsi que logiquement, c'est dire a travers une connexion 
reseau, a des personnes non autorisees. 

Ce second mode d'execution de la figure 2B est bien adapte a des 
applications mises en oeuvre dans un environnement ferme ou privatif 
controle par une autorite centrale, car elle necessite un serveur protege 
dont Tadministration doit etre centralisee. Ce second mode d'execution offre 
de plus la possibilite de definir une politique d'acces centralisee aux 
services cryptographiques offerts par la carte a circuit integre. Cette 
politique d'acces peut etre basee sur les applications requerant les services 
de la carte et sur les utilisateurs eux memes. Elle permet, par exemple, 
dans la cas d'une entreprise ayant distribue a ses employes ou a ses clients 
des cartes a circuit integre leur permettant de signer des courriers 
electroniques ainsi que des transactions bancaires, de s'assurer que seuls 
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les utilisateurs autorises pourront signer : ce mecanisme peut etre mis en 
oeuvre grace au canal securise CS. A chaque requete de signature emise 
par une des applications consideree comme valide par l'entreprise (la 
messagerie electronique et le logiciel de transactions bancaires), le module 
5 logiciel F-SE effectuera une demandc d authentication de l'utilisateur. 
Cette demande peut, par exemple, etre effectuee en envoyant un nombre 
aleatoire, challenge ou defi via le canal securise CS a la carte 31. Apres 
saisie par l'utilisateur de son code confidentiel, la carte a circuit integre 
calculera un mot de passe dynamique en chiffrant le defi a l'aide d'une cle 

10 secrete qu'elle contient. Le mot de passe sera ensuite transmis via le canal 
CS au module logiciel F-SE. Le module logiciel F-SE, connaissant 
l'utilisateur et done la cle secrete contenue dans sa carte, comparer a le mot 
de passe re?u au mot de passe attendu. Ce mecanisme connu sous le nom 
d'authentification en mode challenge - reponse permet au module logiciel 

15 F-SE de valider Tidentite de Tutilisateur. Ceci permet done a l'entreprise 
ayant remis les cartes a circuit integre aux utilisateurs de s'assurer que 
seuls les utilisateurs encore autorises peuvent par exemple signer des 
transactions bancaires. 

Le serve ur Ssec, grace aux.moyens securises et centralises qu'il 

20 represente, permet non seulement une implantation securisee du logiciel 
filtre F-SE mais aussi la possibility de mettre en place une politique 
centralisee de controle de Tutilisation des services de securite offerts par la 
carte a circuit integre. Le serveur Ssec permet la mise en place d'une 
politique centralisee du fait qu ( un meme serveur peut etre en liaison avec 

25 une pluralite des modules logiciels F-PC implantes sur les ordinateurs 
personnels d'une pluralite d'utilisateurs. Le serveur Ssec permet ainsi la 
definition et le controle centralises des conditions d'utilisation des services 
de securite offerts par les cartes remises aux differents utilisateurs, en 
fonction du profil de Tapplication requerant les services et des droits 

30 desdits utilisateurs. La mise en place de cette politique centralisee 
implique done de stocker dans le serveur les informations necessaires, cest- 
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a-dire les droits des utilisateurs d'utiliser tel service de securite en liaison 
avec telle application. 

Ce second mode d'execution de la figure 2B, bien adapte aux 
environnements prives, est par contre dif&cilement applicable a des 
5 applications ouvertes pour lesquelles la mise en place d'un serveur central 
securise Ssec n'est pas envisageable. 

La Figure 3 illustre un module terminal reprenant des principes 
^architecture fonctionnelle similaires a ceux de la Figure 2B dans une 
forme de realisation differente, ne necessitant pas de serveur centralise. Le 
10 module terminal selon la deuxieme forme de realisation de la Figure 3 
presente un tres haut degre de securite, lui permettant ainsi d' assurer 
directement la protection locale du logiciel filtre F. 

Dans le cas de la figure 3, le module terminal 1 se presente sous la 
forme d'un boitier, portable ou non, dont une face porte Tecran d'affichage 4 
et le clavier 5 et dans lequel sont implantes des circuits electroniques, de 
preference de maniere telle que ceux-ci soient inaccessibles depuis 
1'exterieur. Le boitier 1 contient le lecteur 6 et presente une ouverture de 
reception de la carte a micro-circuit 3 1 dans le lecteur 6. Le mode 
d'execution illustre par les Figures 3, 4A, 4B et 4C ne doit pas etre 
considere comme se limitant a un terminal dedie. La description qui suit 
peut tout a fait etre appliquee a un terminal construit autour d'un 
ordinateur personnel de type PC ou NC. 

Selon un premier mode d'execution, illustre a la figure 4A, de cette 
deuxieme forme de realisation du module terminal de la figure 3, les 
circuits electroniques du module terminal 1 sont organises autour d f un 
microcontroleur standard 2 et d'un microprocesseur 3 securise, qui sont 
connectes entre eux par une liaison et implantes de maniere permanente 
dans le boitier du module 1. En variante, le microprocesseur 3 peut etre 
enfichable sur le module 1 au moyen d'un connecteur 41 represents en 
traits interrompiis a la figure 4A. II est decrit ici un mode d'execution 
generique base sur un microcontroleur standard. Dans un mode d'execution 
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particular qui sera decrit ulterieurement, le microcontroleur 2 peut en fait 
etre un PC 102 du type de celui presente dans la Figure 2B. 

Le microcontroleur standard 2 comprend une unite de traitement 2a, 
de la memoire temporaire (RAM) 2b, et de la memoire permanente (ROM) 
5 2c. II s'agit de preference d'un microprocesseur "monochip" dont le 
programme est masque dans la memoire permanente 2c et qui integre dans 
un meme circuit integre des moyens de gestion ou pilotage d'interfaces 
standards, l'unite de traitement 2a et les memoires temporaire 2b et 
permanente 2c. 

10 Les interfaces ou peripheriques gerees par le microcontroleur 2 

comprennent notamment l'ecran 4 d'affichage de donnees, par exemple a 
cristaux liquides, le clavier 5 pour Introduction de donnees par un 
utilisateur, le lecteur 6 de carte a micro-circuit, une interface 7 de liaison 
externe, par exemple du type RS 232 ou PCM-CIA, une interface 8 de 
15 liaison par infrarouge, et un dispositif DTMF 9 pour la transmission de 
donnees sur une ligne telephonique. 

Les composants du module 1 comprennent egalement une horloge 10 
et une source 11 d'alimentation electrique des differents circuits et 
composants du module 1. La source 11 d'alimentation electrique peut etre 
constitute par des piles ou une batterie si le module 1 est portable et 
autonome. 

La tache du microcontroleur standard 2 est de gerer 
l'environnement, c'est-a-dire de piloter les interfaces 4-9 et l'horloge 10, 
ainsi que la source d'alimentation 11 pour alimenter selective ment le 
microprocesseur securise 3 en energie electrique dans le cas d'un module 1 
autonome. 

Le microcontroleur standard 2 necessite ainsi peu de puissance de 
calcul, peu de memoire temporaire (RAM) et pas de memoire semi- 
permanente (EPROM ou EEPROM). Le microcontroleur 2 est protege en 
ecriture du fait que ses programmes (pilotage d'interfaces et, commc decrit 
dans la suite, interpreter, gestion des horloges et de 1'aUmentation 
electrique, etc..) sont masques en memoire permanente 2c. Comme cela 
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apparaitra dans la suite, lc mici-ocontroleur standard 2 peut egalement 
contenir un ou plusieurs parametres secrets, sur la base desquels il peut 
etre authentifie par le microprocesseur securise du module terminal et/ou 
d'une carte a circuit integre. Ces secrets doivent done. etre proteges en 
lecture et en ecriture. lis seront de preference stockes dans la memoire 
temporaire (RAM) d'un microprocesseur "mono chip", qui n ! est accessible ni 
en ecriture, ni en ecriture depuis l'exterieur. Le microcontroleur standard 2 
peut egalement etre pourvu de fonctions de securite complementaires, par 
exemple pour interdire des fraudes telles que Taffichage de donnees 
differentes de celles provenant du microprocesseur 3. 

II s'agit par consequent d'un microcontroleur d'un faible cout et 
ayant une faible consommation electrique, qui est particulierernent adapte 
a un produit portable. Ce microcontroleur peut etre par exemple du type 
MSM 63180 de la Societe OKI. 

De preference, deux horloges sont prevues en 10 : une horloge a 
frequence basse 10a, par exemple de frequence 32,368 KHz et une horloge 
a frequence elevee 10b, pouvant aller de 1 MHz a 12 MHz par exemple Le 
microcontroleur 2 commande la connexion de son horloge systeme sur l'une 
ou l'autre de ces deux horloges. 

L/horloge lente 10a cadence un dispositif de temporisation 2d du 
microcontroleur 2 avec une periode de 0,5 s pour realiser une horloge temps 
reel dans le module 1". Uunite de traitement 2a peut egalement fonctionner 
a Taide de Thorloge lente 10a pour les fonctions ne necessitant pas de 
vitesse de calcul : dans ce cas l'horloge systeme du microcontroleur 2 est 
connectee sur l'horloge lente 10a et Thorloge rapide 10b est arretee. Ce 
mode de fonctionnement permet de limiter la consommation electrique du 
module 1, ce qui est avantageux si celui-ci est portable et alimente par une 
pile electrique. 

Le microprocesseur 3 securise en lecture et en ecriture comprend une 
unite ccntrale 3a et des memoires temporaire (RAM) 3b et permanente 
(ROM) 3c, ainsi qu'une memoire semi-permanente reprogrammable 
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electriquement (EEPROM ou Flash RAM par exemple) 3d pour le stockage, 
cntre autres, des programmes d'application du module 1. 

Ce microprocesseur securise 3 est du type de ceux utilises dans les 
cartes a micro-circuit et il presente un nombre limite d'entrees et de sortie, 
5 ses bus internes etant inaccessibles depuis Texterieur. De par sa 
fabrication, il integre d'autres mecanismes de securite propres a ce type de 
microprocesseur et bien connus des specialistes de la technique, tels que 
matrice de securite, brouillage de memoire, controle de la frequence 
d'horlqge, controle de la remise a zero (RESET), etc... 

10 Grace au fait que le microprocesseur 3 possede une memoire semi- 

permanente 3d, il est possible d'y charger depuis l'exterieur, par exemple a 
partir d'un serveur ou d'une carte a micro-circuit, un ou des programmes 
d'application. II est ainsi possible, en fonction des besoins, de faire evoluer 
la ou les applications (controle d'acces, transaction financieres et/ou 

15 commercials, porte-monnaie electronique, etc..) auxquelles est destine le 
module 1. II est egalement possible, si la taille de la memoire semi- 
permanente 3d le permet, d ! y implanter de nouvelles applications au cours 
de son utilisation. 

Selon la version choisie, le microprocesseur securise 3 peut assurer 

20 le calcul de fonctions cryptographiques requerant des calculs importants 
mis en ceuvre dans les algorithmes asymetriques de type RSA ou DSA, ou 
bien mettre en oeuvre des algorithmes plus simples, par exemple du type 
DES. 

Le microprocesseur securise 3 peut etre, par exemple : 
25 - un microprocesseur SIEMENS SLE44C160S, non cryptographique, 

dote de 14 Ko de memoire ROM et de 16 Ko de memoire EEPROM ; 

- un microprocesseur SGS THOMSON ST16CF54A cryptographique 
dote de 16 Ko de memoire ROM, de 4Ko de memoire EEPROM et de 480 
octets de memoire RAM ; 
30 - un microprocesseur PHILIPPS P83C858 cryptographique dote de 

20 Ko de memoire ROM et de 8 Ko de memoire EEPROM. 
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Le microprocesseur securise 3 est connecte, d'une part par la liaison 
12 au microcontroleur standard 2, d'autre part par des liaisons 13 et 14 a 
Tinterface externe 7 et au lecteur 6 de carte a micro -circuit par 
l'intermediaire de commutateurs-adaptateurs d'interface 15 et 16 
5 respectivement. Les commutateurs-adaptateurs 15 et 16 sont commandes 
par le microcontroleur standard 2 via des liaisons 17 ct 18 respectivement. 

Le microcontroleur standard 2 comprend un programme 
d'interpretation ou interpreter 20 (Fig. 4B et 4C) stocke dans la memoire 
ROM 2c et permettant a celui-ci d'executer des commandes generees par le 
10 logiciel de traduction des requetes de haut niveau faisant partie du ou des 
programmes ^application, comme cela sera decrit dans la suite. Cet 
interpreter 20 permet ainsi au(x) programme(s) duplication stocke(s) 
dans le microprocesseur securise 3 de piloter les interfaces 4-9 via la liaison 
12. Cependant, le ou les programmes duplication peuvent etre localises et 
L5 executes ailleurs que dans le microprocesseur 3 securise en lecture et en 
ecriture, par exemple dans une carte a micro-circuit 31 inseree dans 
rmterface 6, telle qu'une carte adaptee pour supporter des mecanismes de 
telechargement et d ! execution des applications comme decrit dans la norme 
NF EN 726-3 intitulee "Cartes a circuit integre et terminaux pour les 
0 telecommunications. Partie 3 : Specifications de la carte independantes des 
applications". 

Les programmes d'application peuvent en outre, en fonction des 
regies de securite auxquelles ils sont soumis, etre distribues entre ces 
differentes localisations. 
> Le schema fonctionnel de la figure 4B illustre une premiere 

configuration d'architecture logicielle du module 1 de la figure 4A dans 

laquelle l'ensemble des programmes d'application Al, A2, An et des 

fonctions de securite (calcul de condense, algorithmes cryptographiques 
symetriques tels que DES, triple DES, ou asymetriques tels que proposes 
par RSA) est mis en oeuvre dans le microprocesseur securise 3. 

Les applications nominees ci-dessus et dans la suite de la description 
A1 > A2, An comprennent au minimum les filtres Fl ? F2, Fn, et done 
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en particulier les logiciels de traduction des requetes emises par le ou les 
fournisseurs de services applicatifs FAp faisant partie de Implication 
principale 54 (Figure 8A). 

Le microcontroleur standard 2 gere l'environnement au moyen de 
5 differents programmes de gestion ou gestionnaires d'interface a savoir : 

- un gestionnaire 21 du lecteur ou interface 6 de carte a micro - 
circuit; 

- un gestionnaire 22 de interface 7 de liaison serie ; 

- un gestionnaire 23 du clavier 5 ; 

10 - un gestionnaire 24 de l'interface 8 de liaison par infrarouge ; 

- un gestionnaire 25 de Taf&cheur 4 ; 

- un gestionnaire 26 de 1'horloge 10 et de la source d' alimentation 11; 

- un gestionnaire 27 de linterface DTMF 9 ; 

- un gestionnaire 28 d'autres interface, dans l'hypothese ou le 
15 module 1 comporte une ou des interfaces autres que celles representees a la 

figure 2. 

Ainsi, le microprocesseur securise 3 peut piloter les interfaces au 
moyen de commandes qui sont interpretees par Tinterpreteur 20 et 
executees par le microcontroleur standard 2 grace aux gestionnaires 21-28. 

20 La figure 4C illustre une seconde configuration logicielle du module 

1 de la figure 4A dans laquelle une ou plusieurs applications Ax et une ou 
plusieurs fonctions cryptographiques Sx sont stockees dans une memoire 
reprogrammable 30a d'un microprocesseur securise 30 d'une carte a micro- 
circuit 31. Lorsque la carte 31 est introduite dans le lecteur 6, le 

25 microprocesseur 30 execute les applications Ax et les fonctions 
cryptographiques Sx, tandis que d'autrcs applications et fonctions de 
securite peuvent etre residentes dans et mises en ceuvre par le 
microprocesseur securise 3 du module 1. Cest ainsi, par exemple, que le 
microprocesseur 30 de la carte 31 peut assurer une fonction de signature 

30 electronique dans rhypothese ou le microprocesseur securise 3 n'integre 
pas un processeur de calcul dedie (cryptoprocesseur). Reciproquement, si le 
microprocesseur securise 3 integre un cryptoprocesseur, il est egalement 
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possible qu'une application presente dans la carte a micro-circuit 31 fasse 
appel a des commandes cryptographiques du module 1, commandes qui 
seront executees par le microprocesseur securise 3. 

Dans cette seconde configuration, qui pour le reste est identique a 
celle de la figure 4B, Tinterpreteur 20 joue vis-a-vis du microprocesseur 30 
le meme role que celui qu'il remplit vis-a-vis du microprocesseur securise 3. 
Le module 1 peut ainsi executer des applications differentes selon le type 
de carte 31 a micro-circuit introduit dans le lecteur 6, par exemple : 

- une authentication de Tutilisateur dans le cadre d'une transaction 
bancaire (consultation de compte, virement de fonds, etc..) cffectuee via 
une ligne telephonique au moyen de l'interface DTMF 9 ; 

- une consultation du solde d'un porte-monnaie electronique, ou le 
rechargement de ce porte-monnaie, a partir du module 1, lorsqu'une carte a 
micro-circuit 31 remplissant la fonction de porte-monnaie est introduite 
dans le lecteur 6. En outre, le module* 1 permet de gerer plusieurs cartes 
porte-monnaie differentes : porte-monnaie bancaire, porte-monnaie 
specifique a une collectivite par exemple ; 

- lecture d'un dossier medical sur une carte medicale ; 

-. lecture de points de fidelite sur une carte dans laquelle des points 
de fidelite sont attribues a un consommateur en fonction d ! achats effectues, 
de sa participation a des operations de fidelisation de clientele, etc... 

Le mode d'execution decrit ci-dessus a la Figure 4A ainsi que les 
configurations logicielles presentees dans les Figures 4B et 4C 
s'appliquent, de maniere analogue, a un terminal construit autour d'un PC 
conventionnel equipe en outre du microprocesseur securise 3. Dans ce mode 
dexecution, le microcontroleur 2 correspond au PC 102 tcl qu'il est 
presente a la Figure 2A, Tunite de traitement 2a correspond au 
microprocesseur 102c du PC, et les memoires RAM 2b et pcrmanentes 2c 
correspondent respectivement a la memdire RAM 102d et au disque dur 
102b. De meme les entrees / sorties 102a du PC correspondent aux modules 
d'interfaces 7, 8 et 12 de la Figure 4A. La connexion entre le 
microprocesseur securise 3 et le PC 102 peut etre une liaison serie ou 
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parallele, ou bien encore une connexion au bus interne du PC, du type 
PCMCIA, ou une connexion directe sur la carte mere du PC. En variante, le 
microprocesseur securise 3 peut etre integre de maniere fixe, ou amovible 
via le connecteur 41, au clavier du PC. 
5 Dans cc cas, le module logiciel interpreteur 20 ainsi que les modules 

logiciels de gestion des peripheriques 20 a 26 et 28 sont implantes et 
executes sur le PC. L architecture fonctionnelle de ce mode d'execution est 
equivalente a celle presentee a la Figure 2B, le module interpreteur 20 
ainsi implante sur le PC assurant le meme role que le module interpreteur 
10 I de la Figure 2B : il execute les commandes de pilotage des echanges avec 
Tutilisateur re?ues du logiciel filtre F lui-meme implante de maniere 
securise dans le microprocesseur 3 (Figure 4B) ou la carte a circuit integre 
30 (Figure 4C). 

Le schema de la figure 5 illustre un deuxieme mode d'execution de la 

15 deuxieme forme de realisation de Tinvention, dans lequel les circuits 
electroniques du module terminal 1 sont organises autour d'un seul 
microcontroleur 29 rempla?ant le microcontroleur 2 et le microprocesseiu: 3 
et pouvant offrir le meme type de protection physique et logique que les 
microprocesseurs con<?us pour les cartes a circuit integre. Ce 

20 microcontroleur gere Fensemble des moyens d interfaces 4-9 du module 
terminal. II comporte une unite de traitement 29a, une memoire 
temporaire (RAM) 29b, une memoire permanente (ROM) 29c et une 
memoire semi-permanente (EEPROM) 29d permettant le stockage du 
logiciel de traduction. L'unite de traitement 29a correspond a la fois a 

25 Tunite 2a de traitement de donnees permettant le pilotage des interfaces et 
a Tunite 3a de traitement permettant l'execution du logiciel de traduction. 
De meme que precedemment, le module terminal 1 peut etre construit 
autour d'un ordinate ur personnel PC 102 auquel serait connccte au bus 
interne un microcontroleur securise 29 pilotant ainsi directe rnent l'ecran 

30 d'affichage 4 et le clavier 5 du PC. 

Dans une variante de realisation, la memoire dans laquelle est 
stockee le logiciel de traduction des requetes de haut niveau, memoire 
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volatile de type RAM avcc une alimentation de sauvegarde ou semi- 
permanente (EEPROM ou Flash RAM), peut etre externe au 
microcontroleur 29. Dans ce cas, le logiciel de traduction peut etre chiffre et 
signe, ou protege par un code de type MAC ("Message Authentication 
Code") de maniere a assurer a la fois son integrite et sa confidentialite. Le 
logiciel est lu par le microcontroleur 29, dechiffre puis execute. 

Selon un troisieme mode d'execution, represents a la figure 6, de la 
deuxieme forme de realisation de l'invention, le module terminal 101 est 
depourvu de microprocesseur securise 3. Sur cette figure 6, les memes 
numeros de reference qu f a la figure 4A ont ete conserves pour designer les 
memes elements. Le microcontroleur 2 pilote Pinterface 6 et le 
commutateur-adaptateur 5 pour permettre la connexion du 
microprocesseur securise 130 d'une carte a micro-circuit programmable 131 
presente dans interface 6 avec Tinterface de liaison externe 7. Dans ce cas, 
l'cnsexnble des applications A et des fonctions. cryptographiques C sbnt 
memorisees dans une memoire semi-permanente 130a (EEPROM ou Flash 
RAM) du microprocesseur securise 130 de la carte a micro-circuit 
programmable 131, et raises en oeuvre par ce dernier comme decrit a la 
figure 4C a propos des applications Ax et des fonctions cryptographiques 
Cx. 

Dans les exemples decrits precedemment, dans un but de 
simplification, le microprocesseur 30, 130 de la carte a circuit integre ainsi 
que le microprocesseur securise 3 eventuellement implante dans le module 
terminal comporte un seul port de communication. Ceci implique que dans 
ces exemples, les echanges entre les differentes entites, a savoir Tunite 
clectronique 154 (figure 8) contenant Tapplication principale, le 
microprocesseur securise 3 et le microprocesseur 30, 130 de la carte circuit 
integre se font a travers le microcontroleur 2 ou 29 du module terminal. 
Ces descriptions ne doivent pas etre considerees comme limitatives : 
d'autres mises en ceuvre peuvent etre envisagees dans le cadre de la 
presente invention. En effet, les microprocesseurs securises de carte a 
circuit integre actuellement disponibles, utilisables pour la carte elle meme 
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(microprocesseur 30, 130) ou dans le module terminal (microprocesseur 3), 
peuvent comporter deux ports de communication. Differentes formes de 
realisation optimisant les flux de communication sont done aisement 
envisageables avec ce type de microprocesseur. Dans le cas de la figure 4C, 
5 par exerhple, un des ports de la carte a circuit integre 31 peut etre dedie au 
pilotage de Tinterface utilisateur et done relie au microcontroleur 2, 1'autre 
port etant relie a Tunite electronique comportant 1' application principale 
moyennant une adaptation d 'interface appropriee. 

Suivant une caracteristique importante dc l'invcntion, un logicicl 

10 filtre est implante dans la memoire reprogrammable EEPROM associee au 
microprocesseur securise 3 ou 29 du .module terminal 1 et/ou au 
microprocesseur securise 30, 130 de la carte 31, 131. Ce logiciel filtre 
traduit dc maniere connue les requetes de haut niveau en provenance du 
serveur Sap ou de Tordinateur personnel PC en sequences de commandes 

15 elementaires executables par ces microprocesseurs (commandes qui sont 
notamment definies par la partie 4 de la norme ISO 7816-4). En outre, 
suivant Tinvention, ce logiciel filtre traduit ces requetes de haut niveau en 
sequences d'echanges de donnees entre le module terminal 1, 101 et un 
utilisateur via les moyens d'interface tels que rafficheur 4 et le clavier 5. 

20 Cette solution offre l'avantage de reduire consider ablement le debit 

de donnees echange entre le module terminal 1, 101 et le serveur Sap ou le 
PC, mais requiert une implantation securisee du logiciel de traduction pour 
empecher que les instructions envoyees a la carte a micro-circuit soient 
modifiees. 

25 Ce logiciel filtre fait partie integrante de la partie du logiciel 

duplication implantee dans le module terminal 1 et/ou la carte 31, 131 ct 
il est done telechargeable. 

La figure 7 illustre Tarchitecture logicielle conventionnelle d'une 
carte a micro-circuit. 

30 Les differentes couches de logiciels sont representees par un bloc 43 

qui comprend une couche logicielle 44 "protocole de communication" 
permettant de recevoir des commandes. Ces commandes sont decodees par 
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une couche logicielle 45 "Interpretation commandos APDU" (APDU : 
"Application Protocol Data Unit" dont le role est d'orienter les commandes 
vers des modules de traitement qui peuvent etre : 

- un logiciel 46 de services de gestion de fichiers securises ; 

- un logiciel 47 de services cryptographiques ; 

- un ou d'autres logiciels d'application 48 

Les modules de traitement 46, 47, 48 s f appuient sur des services de 
base offerts par le sys ^ae d'exploitation 49 de la carte a micro-circuit. 

La figure 8A illustre Tarchitecture logicielle d'un systeme de mise en 
peuvre de transactions securisees faisant appel a des modules terminaux 1 
dotes d'un microprocesseur securise 3, conformement au mode d'execution 
de Tinvention de la figure 4A. 

Le bloc 51 designe les logiciels executes par le microprocesseur 
securise 3 du module terminal 1, le bloc 52 les logiciels executes par le 
microcontroleur 2 ou PC 102 du module terminal 1, le bloc 5.3 les logiciels 
executes par le microprocesseur 30 d'une carte a micro-circuit 31, et le bloc 
54 le logiciel principal ^application, ou Fournisseur de services applicatifs, 
implante dans le serveur Sap ou un ordinateur personnel PC. 

Le bloc 51 est similaire au bloc 43 de la figure 7, c f est-a-dire que le 
microprocesseur securise 3 a une architecture semblable a celle d'une carte 
a circuit integre. Le bloc 51 comprend : 

- un logiciel 60 de protocole de communication. 

- un systeme d'exploitation 61 

- un bloc 62 representant la partie du logiciel d'application implantee 
dans le module terminal 1, cette partie du logiciel d'application etant 
essentiellemeht constitute du logiciel filtre precite. Diffe rents modules 
logiciels de ce type correspondant a diffe rentes applications peuvent 
cohabiter dans le microprocesseur securise 3. 

optionnellement, un logiciel 63 permettant d'assurer 
rauthentification du microcontroleur standard 2 par le microprocesseur 
securise 3 et rauthentification du microprocesseur securise 3 du module 
terminal 1 par le microprocesseur 30 de la carte 31, 
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- un logicicl 64 do gestion dc fichicr securise, 

- un logiciel 65 de services cryptographiques. 
Le bloc 52 comprend : 

- un logiciel 70 de protocole de communication ; 

5 - un interpreteur de commandes 71 correspondant au logicicl 20 des 

figures 4B et 4C ; 

- un logiciel d'authentification 72 permettant, en liaison avec le 
logiciel 63, rauthentification du microcontroleur standard 2 par le 
microprocesseur securise 3 du module terminal 1 ; 

10 - des logiciels 73 de gestion des ressources internes du 

microcontroleur 2 ; 

- des logiciels 74 de pilotage des interfaces avec Putilisateur 
(gestionnaires 23 et 25 de l'ecran 4 et du clavier 5) ; 

- des logiciels 75 de pilotage des interfaces de communication 7, 8 et 
15 9 (gestionnaires 22, 24, 27) ; 

Enfin, le bloc 53 est similaire au bloc 43, mais ne comporte pas, dans 
l'exemple decrit par la figure 8A, de logiciel duplication ou filtre. II 
comprend : 

- un logiciel 80 de protocole de communication, 

20 - un logiciel 81 d'interpretation de commandes APDU, 

- un logiciel 82 de services de gestion de fichier securise (controle du 
PIN par exemple), 

un logiciel 83 de services cryptographiques (calculs 
cryptographiques symetriques a cles secretes ou asymetriques, a cles 
25 publiques et cles privees, etc..) permettant, entre autres, d'assurer, en 
liaison avec le logicicl 63, rauthentification du microprocesseur securise 3 
du module terminal 1 par le microprocesseur 30 de la carte 31, 

- le systeme d'exploitation 84 du microprocesseur 30 de la carte 31. 
Le protocole de communication 60, 70, 80 permet de gerer les 

30 echanges de donnees entre : 

- le microprocesseur 30 de la carte 31 et le microcontroleur standard 
2 ou PC 102 du module terminal 1 ; 
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- le microprocesseur securise 3 et le microcontroleur 2 du module 
terminal 1 ; 

- le microprocesseur securise 3 du module terminal 1 et le 
microprocesseur 30 de la carte 31. 

La figure 8B est une vue similaire a la figure 8A illustrant 
l'architecture logicielle du systeme dans le cas ou le module terminal 101 
ne comporte pas le microprocesseur securise 3, conformement au troisieme 
mode d'execution du deuxieme mode de realisation de Tinvention de la 
figure 6. 

Sur la figure 8B, le bloc 152 designe les logiciels executes par le 
microcontroleur 2 du module terminal 101, le bloc 153 les logiciels executes 
par le microprocesseur 130 d'une carte a micro-circuit programmable 131, 
et le bloc 154 le logiciel principal d'application implante dans le serve ur 
Sap ou un ordinate ur personnel PC. 

Le bloc 152 comprend les memes logiciels 70, 71 et 73 a 75 que le 
bloc 52 de la figure 7, et un bloc 76 qui est un logiciel d'authentification du 
microcontroleur standard 2 du module terminal 101 vis-a-vis du 
microprocesseur 130 de la carte 131. 

Le bloc 153 relatif au microprocesseur 130 de la carte 131 comprend 
les logiciels 62 et 80 a 84 des blocs 51 et 53 de la figure 7, ainsi qu'un 
logiciel 77 permettant, en liaison avec le logiciel 76, d'assurer 
l f authentification du microcontroleur standard 2 du module terminal 101 
vis-a-vis du microprocesseur 130 de la carte 131. 

A la difference d'un systeme conventionnel, dans le systeme de 
transaction securisee selon Tinvention, le logiciel filtre 62 qui traduit les 
requetes de haut niveau de Implication en commandos elementaires 
executables par une carte a micro-circuit est implante dans 
Tenvironnement utilisateur securise, e'est-a-dire soit dans le module 
terminal 1 (pour les applications Al, A2.....An des modes d'execution des 
figures 4A-4C et 5), soit dans une carte 31, 131 a memoire semi- 
permanente utilisable avec le module terminal 1, 101 (pour les applications 
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Ax du mode de realisation de la figure 4C et pour toutes les applications du 
mode de realisation de la figure 6). 

Outre sa fonction de gestion d'une carte a micro-circuit, ce logiciel 
filtre 62 gere les interactions avec l'utilisateur, c'est-a-dire les sequences 
5 d'echange de donnees entre un utilisateur et le module terminal qui sont 
requises dans le cadre d'une application, echanges qui ont lieu par 
I'intermediaire des moyens d'interface, a savoir l'ecran 4 et le clavier 5. II 
est a noter que l'invention n'est pas limitee a l'utilisation d'un ecran et d'un 
clavier comme interfaces avec l'utilisateur et que; tout autre type 
10 d'interface, par exemple vocale, presentant 1'ergonomie requise, pourrait 
convenir. 

Grace a l'implantation securisee du logiciel filtre 62 dans le 
microprocesseur securise 3 ou 29 du module terminal 1 ou le 
microprocesseur 30, 130 de la carte a micn>circuit 31, 131, la securite des 
15 transactions est assuree. En effet, les cles et regies necessaires pour 
acceder a des fichiers de la carte a micro-circuit 31, 131 sont contenues 
dans le logiciel de traduction 62 et sont done inaccessibles a des tiers. 

Les fonctions remplies par le logiciel filtre 62 seront illustrees ci- 
apres en prenant Texemple d'une application visant le commerce 
20 electronique. L'application met en ceuvre les entites suivantes : 

• un acheteur 

• un commer?ant, 

• une banque. 

Le commergant dispose d'un serveur de commerce electronique Sap 
25 (serveur Web) accessible depuis le reseau Internet. Les acheteurs sont 
equipes de: 

• un ordinateur PC permettant d'acceder au serveur Sap de commerce 
electronique, et grace auquel Tacheteur peut consulter un catalogue de 
marchandises. 

30 • une carte a circuit integre 31 delivree par la banque et dont le 
microprocesseur 30 contient une cle privee, mais ne dispose pas de 
capacites cryptographiques permettant d'effectuer une signature, 
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• un module terminal 1 selon le mode de realisation de la figure 4A, dote 
d'un microcontroleur standard 2, d'un microprocesseur securise 3 
disposant de capacites cryptographiques permettant la signature d'un 
message, d'un clavier 5, d'un afficheur 4, d'une interface carte a circuit 
5 mtegre 6 et d'une interface serie 7 pour sa connexion a un ordinateur 

PC. 

Les principes de fonctionnement sont les suivants : la transaction est 
signee par le module terminal 1 a 1'aide d'une cle privee detenue par la 
carte 31. Cette cle privee est protegee par un code porteur confidential 

10 (PIN) que l'acheteur doit saisir en milieu securise, done sur le terminal 1, 
et par une authentication prealable du terminal 1 par la carte 31 a l'aide 
d'une cle secrete Kauth. De plus la cle privee est transmise de maniere 
chiffree (par une cle Kchif) de maniere a etablir un canal de communication 
securise entre le microprocesseur 30 de la carte a circuit integree 31 et le 

15 microprocesseur securise 3 du terminal 1. 

La figure 9 illustre les echanges entre les differentes entites : 

a. l'acheteur constitue sa commande sur Tordinateur PC, 

b. Tordinateur PC elabore la transaction a fa ire signer par l'acheteur 
(reference article, prix) et demande la signature de cette transaction au 

20 module terminal 1, 

c. le module terminal verifie Torigine de la demande de signature puis 
sollicite la saisie du code PIN par affichage d'un message "saisie PIN" sur 
son afficheur 4, 

d. Tacheteur saisit son code porteur (code PIN) sur le clavier 5 du module 
25 terminal 1, 

e. le PIN est envoye par le module terminal 1 a la carte 31 pour 
verification. Cette verification etant positive, elle provoque la levee d'une 
de deux conditions d'acces a la lecture de la cle privee, 

f. le module terminal 1 affiche la transaction sur son afficheur 4, 

30 g. l'acheteur donne son accord, par appui sur une touche "validation" du 
clavier 5 du module terminal 1, 
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h. le module terminal 1 soumet une demande d'authentification extcrne a 
la carte 31. Cette authentication externe permet au microprocesseur 
securise 3 du module terminal 1 de s'authentifier vis-a-vis du 
microprocesseur 30 de la carte 31 et de lever ainsi la deuxieme protection 

5 d'adces a la cle privee. Cette authentification se fait en mode 
challenge/reponse sur la base d'un secret., Kauth, partage par le module 
terminal 1 et la carte 31, 

i. le module terminal 1 envoie une demande de lecture de cle privee a la 
carte 31, 

10 j. toutes les conditions d'acces etant remplies, la carte 31 accepte la 
demande de lecture, et renvoie la cle privee, chiffree par une cle secrete, 
Kchif, partagee par la carte 31 et le module terminal 1, 

k. le module terminal 1 dechiffi-e la cle privee, signe la transaction au 
moj^en de la cle privee, detruit la cle privee, se deconnecte de la carte 31 et 
15 envoie e la transaction signee a Tordinateur PC qui la transmet au serve ur 
S. 

Cet exemple peut etre transpose aisement a une transaction 
electronique effectuee sans ordinateur PC, le module terminal 1 se 
connectant directement a un serveur Sap par une liaison modem (figure 3), 
20 l'acheteur entrant la commande (reference produit) sur le module terminal 
1. 

, II est a noter que l'authentification du microprocesseur securise 3 
par la carte peut aussi etre effcctuc a travers la commande do lecture de cle 
privee en lui associant un code d'authentification MAC (Message 

25 Authentification Code) calcule au moyen d'une cle secrete. 

Cet exemple montre que le logiciel filtre 62 permet dc traduire une 
requete de haut niveau "demande de signature de transaction" en une 
multitude de requetes elementaires adressees aux differentes interfaces du 
module terminal 1, a savoir Tinterface 6 avec la carte a circuit integre 31, 

30 Tinterface afficheur 4, l'interface clavier 5, Tinterface de connexion a 
l'ordinateur PC ou au serveur Sap. 
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Un tel logiciel filtre de traduction a un role d'ecran, de filtre entre le 
monde exterieur, c'est a dire lcs applications, et les peripheriques qu ! il 
gere. 

II ameliore la securite offerte du fait que : 

1. il impose un sequencement aux ordres elementaires envoyes. Par 
exemple, dans le cas illustre ci-dessus, il impose que la transaction soit 
validee par 1'utilisateur avant d'etre signec. 

2. il dispose seul des parametres secrets permettant de generer et 
dauthentifier ces ordres elementaires. Ainbi il dispose seul des cles 
d'authentification et de chiffrement permettant de lire et dechiffrer la cle 
privee. 

Lorsque le logiciel filtre est execute dans le microprocesseur securise 
3 du module terminal 1, ces proprietes permettent d f imposer une politique 
d'acces a la carte 31, politique qui n'est pas toujours completement imposee 
par la carte elle-meme, ou d'etendre les capacites d'une carte (capacite de 
signature deleguee au module terminal, utilisation dans un contexte non 
prevu lors de son deploiement initied). 

Les avantages offerts en terme de securite par Texecution du logiciel 
filtre dans le microprocesseur securise du module terminal ou dans celui de 
la carte a circuit integre ne sont possibles que parce que le logiciel s'execute 
dans un environnement securise permettant d f assurer que : 

• les secrets contenus par le logiciel filtre ne sont pas accessibles du fait 
qu'ils sont memorises au sein du microprocesseur securise 3, 29, 30 ou 
130, 

• la confidentiality et Tintegrite du logiciel filtre sont preserves; du fait 
que ce logiciel est memorise dans la microprocesseur securise 3, 29, 30 
ou 130. 

Dans le cas ou le module terminal 1 est un produit dedie, disposant 
de ses propres interfaces, afficheur 4 et clavier 5, l'objectif de securite est 
atteint grace au fait que le logiciel pilotant les echanges de donnees avcc 
1'utilisateur ne peut etre modifie, dans la mesure ou il est stocke de 
maniere definitive dans la memoire permanente 2c du microcontroleur 2 ou 
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de maniere securisee dans le microcontroleur 29. L/utilisateur peut ainsi 
yalider en toute confiance le contenu de sa transaction grace a Vafficheur 4 
et au clavier 5, rendant optionnel la necessite de verifier Tidentite de 
l'application ou 1'origine et l'integrite des requetes. 
5 D'autres mecanismes peuvent encore ameliorer le niveau de securite 

de la chaine de confiance entre le microprocesseur securise de la carte a 
circuit integre, Teventuel microprocesseur securise du module terminal, le 
microcontroleur standard ou le PC du module terminal et l'utilisateur. Ces 
mecanismes sont les suivants : 
10 A) telechargement securise du logiciel filtre ; 

B) authentification du microcontroleur standard par le 
microprocesseur securise ou, ce qui est equivalent mais mieux adapte dans 
le cas dun mode d'execution du terminal autour d'un PC, authentification 
du module logiciel interpreteur I (20) par le logiciel filtre F (62), et/ou 

15 etablissement d'un canal de communication securisee entre ces deux 
microprocesseurs ou les logiciels I et F, 

C) protection d'un secret par le microcontroleur standard , 

D) authentification mutuelle et etablissement d'un canal de 
communication securise entre le microprocesseur securise de la carte a 

20 circuit integre et le microprocesseur securise du module terminal, 

E) authentification du module terminal , et eventuellement du 
couple module terminal-carte, 

F) authentification de la carte a micro-circuit par le module 
terminal. 

25 A) Telechargement securise du logiciel filtre 

L/organigramme dc la figure 10 illustre le processus de 
telechargement d f un programme ^application (logiciel filtre) dans le 
microprocesseur securise 3 ou 29 du module 1 ou le microprocesseur 
securise 30, 130, d'une carte 31, 131 presente dans le lecteur 6. Ce 
30 telechargement peut etre effectue a partir d ! un serveur Sap via, par 
exemple, Tordinateur personnel PC et Tinterface 7 de liaison externe ou 
Tinterface 8 de liaison infrarouge, ou directement au moyen d T une haison 
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telephonique grace a l'interface 9 de liaison par DTMF. Le telechargement 
peut egalement etre effectue dans le microprocesseur securise 3 ou 29 (si le 
module terminal en est equipe) a partir d'une carte a micro-circuit 
introduite dans le lecteur 6. 

A l'etape 32, la zone de la memoire 3d allouee au programme 
d'application a recevoir est vide et le microprocesseur 3 est en attente du 
chargement du programme d'application a la suite d'une requete de 
chargement. 

L'etape suivantc 33 correspond a une procedure d'authentification 
par le microprocesseur 3 de 1'entite appelee a telecharger le programme 
d'application (Emetteur). Cette procedure d'authentification peut faire 
appel, par exemple, a des mecanismes de chiffrement bien connus des 
specialistes de la technique, par exemple des mecanismes symotriques a 
cles secretes partagees ou des mecanismes asymetriques a cle privee et cle 
publique. 

L'etape 34 est un test visant a determiner si la procedure 
d'authentification a reussi : dans la negative, le message "acces refuse" est 
affiche sur l'ecran 4 (etape 42) et le programme retourne a l'etape 32; dans 
Taffirmative, le processus de chargement du programme' d'application 
commence a l'etape 35. 

L'etape 36 correspond au stockage dans la memoire EEPROM 3d des 
trames de donnees transmises par Tentite assurant le telechargement. 

L'etape 37 est un test pour determiner si le telechargement est 
acheve : dans la negative, le programme de telechargement revient a 
l'etape 36 et le telechargement se poursuit ; dans l'affirmative, il est 
procede a l'etape 38 a une verification de Tintegrite des donnees regues par 
le microprocesseur 3. A cet effet, un code d'authentification de message 
(MAC) peut etre associe au programme telecharge pour permettre de 
verifier non seulement son integrite, mais egalement son origine. Le MAC 
peut etre produit en utilisant un mecanisme dc cryptographie symetrique 
(DES en mode chaine CBC). La verification de Torigine et de lintegrite 
peut aussi etre realisee a l'aide d'un mecanisme de cryptographie 
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asymetrique : un condense du logiciel telecharge est signe par Tcmetteur a 
Taide de sa cle privee ; le microprocesseur securise 3 verifie ensuite la 
signature a Taide de la cle publique de l'emetteur. 

II est a noter que dans ce dernier exemple, la cle publique par 
5 principe ne necessite pas de rester confidentielle. Cependant la securite 
apportee par le microprocesseur assure l'integrite du logiciel, empechant 
un fraudeur de modifier le logiciel pour supprimer la verification de 
signature ou simplement de substituer a la cle publique initialement 
p revue une cIq publique pour laquelle il connaitrait la cle privee associee. : 

10 Si d'apres le test 39, il severe que les donnees regues sont correctes, 

un drapeau indiquant que le programme d'application re?u est valide est 
elabore a Vetape 40. Dans le cas contraire, le programme de 
telechargement revient a Petape 32 de depart. 

Ce processus de chargement du logiciel d'application, done du logiciel 

15 filtre, dans la memoire reprogrammable securisee (3d, 30a, 130a suivant le 
mode de realisation), comporte des mecanismes permettant de confirmer 
l'origine et Tintegrite des donnees revues de Temetteur du logiciel. Ceci 
permet d f interdire le telechargement par un fraudeur d'un logiciel filtre qui 
serait susceptible de mettre en oeuvre des transactions dans le module 

20 terminal 1, 101 a Tinsu de Tutilisateur. 

B) Authentification du module logiciel interpreteur I, 20, 71 par le 
logiciel filtre F, 62 ou, ce qui est equivalent dans le mode 
d'execution correspondant, authentification du microcontroleur 
standard 2 par le microprocesseur securise, et/ou etablissement 

25 d'un canal de communication securise entre ces deux logiciels ou 
ces deux microprocesseurs. 

Pour qu'un utilisateur puisse avoir une totale confiance dans le 
module terminal au moyen duquel il effectue des transactions, il est 
necessaire : 

30 - d'authentifier les donnees transmises du logiciel interpreteur 20, 

71au microprocesseur securise 3, 30 ou 130 executant le logiciel filtre ; 
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- cTassurer que les donnees transmises par le logiciel filtre pour etre 
affichees par l'intermediaire du logiciel interpreteur du modulo terminal 1, 
101 possede par l'utilisateur ne peuvent l'etre que par celui-ci. 

Lorsque les moyens de pilotage des echanges de donnees avec 
5 l'utilisateur, c'est a dire le logiciel interpreteur 20, 71, sont implantes de 
maniere fixe et non modifiable dans le module terminal 1, 101, comme par 
exemple dans la memoire ROM 2c du microcontroleur standard 2, 
l'authentification du module logiciel est eqiiivalente a lauthentification du 
microcontroleur. 

10 De meme, lorsque le logiciel filtre est implante de maniere a ne pas 

pouvoir etre modifie par une personne rion autorisee, dans des moyens de 
traitement securises tels que le microprocesseur securise 3, la carte a 
circuit integre ou bien le serveur securise Ssec, une authentication 
effectuee par ces moyens securises est equivalente a une authentication 
15 effectue par le logiciel filtre lui-meme. 

Dans la description qui suit, nous decrirons les mecanismes 
d'authentification des moyens logiciels de pilotage des interfaces ou logiciel 
interpreteur 20, 71 par le logiciel filtre. 

Differentes solutions permettent de remplir ces conditions. 
Une premiere solution consiste a chiffrer toutes les donnees 
echangees entre le le logiciel interpreteur 20, 71 et le logiciel filtre. 

Une deuxieme solution consiste a faire proceder a rauthentification 
du logiciel interpreteur 20, 71 par le le logiciel filtre et/ou a etablir un canal 
de communication securise entre ces deux logiciels. 

Ces deux solutions impliquent necessairement qu'au moins un 
parametre secret cdnnu du logiciel filtre F, 62, soit stocke dans le logiciel 
interpreteur 20, 71. 

Selon la deuxieme solution, le logiciel filtre F, 62 authentifie le 
logiciel interpreteur 20, 71, selon un processus conventionnel 
d'authentification, sur la base d'une information transmise par le logiciel 
interpreteur 20, 71, et combinee avec le parametre secret. Avx niveau du 
logiciel interpreteur 20, 71, cette procedure d'authentification est mise en 
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ocuvre par le logiciel 72 (figure 8A) ou le logiciel 76 (figure 8B), suivant la 
forme de realisation du module terminal. 

Cc mecanisme d'authentification peut egalement s'appliquer aux 
messages echanges entre les deux logiciels pour construire des codes 
5 d'authentification des messages permcttant de garantir Toxigine et 
1'mtegrite de chaque message transmis. 

Dans le cas du mode d'execution decrit a la Figure 4A, cette solution 
reqiiiert cependant que, de preference, une protection physique de la 
liaison entre les deux microprocesseurs soit assuree pour interdire a un 
10 fraudeur de lire les donnees echangees, et en particulier le code 
d'identification personnel (PIN) de la carte que Tutilisateur peut etre 
amene a introduire via le clavier 5 pour la mise en oeuvre des transactions. 

C) Protection d'un parametre secret par le microcontroleur 
standard 2 

15 La description precedente montre la necessite de stocker au moins 

un parametre secret dans le logiciel interpreteur. Le mode d'execution du 
terminal a partir d'un PC, dans lequel le logiciel interpreteur est execute 
sur le PC lui-meme, offre done de par la securite limitee du PC un degre de 
securite limite bien que suffisant pour empecher un virus de se substituer 

20 au logiciel interpreteur. Un degre de securite superieur est obtenu en 
implantant le logiciel interpreteur dans la ROM 2c du microcontroleur 
standard 2 Pour ameliorer la securite, le parametre secret du 
microcontroleur 2 pourra etre stocke dans la memoire temporaire, et cela a 
la fabrication du produit ou, eventuellement, lors de l'insertion du 

25 microprocesseur securise 3 s'il est amovible, ou d'une carte a circuit integre. 
Ccttc operation a pour but d'etablir une confiance entre les deux 
microprocesseurs. Toute precaution utile doit etre prise lors de cette 
operation pour s'assurer de Tauthenticite du microcontroleur 2 (operation 
effectuee en usine, operation protegee par des cles dites de transport elles- 

30 memes stockees dans la memoire temporaire du microcontroleur 2 en 
usine, et dont la connaissance conditio nne l'operation d'initialisation dudit 
parametre secret). En outre des mecanismes conventionnels de detection 
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d f intrusion (contacts...) soront mis en place, pour provoquer l'effacement de 
la memoire temporaire en cas ^intrusion (cdupure alimentation...). 

D) Authentification mutuelle et etablissement d'un canal de 
communication securise entre le microprocesseur de la carte a 
circuit integre et le microprocesseur securise du module terminal 

Cette authentification mutuelle et l'etablissement du canal de 
communication securisee sont realises par la mise en oeuvre de 
mecanismes identiques a ceux utilises entre le microcontroleur standard 2 
et le microprocesseur securise executant le logiciel filtre comrne decrit au 
point B) ci-dessus. 

E) Authentification du module terminal 

II est important de se premunir vis-a-vis de toute attaque contre 
Tensemble clavier 5, afficheur 4, microprocesseur securise 3, visant par 
exemple a effectuer des contrefa<?ons de module terminal , a substituer un 
module terminal par un module terminal contre fait dans.le but de 
recuperer des informations saisies par l'utilisateur (espionnage clavier), 
d'acceder aux secrets d'une carte a circuit integre, d'effectuer des fausses 
signatures. 

Pour cela, il pourra etre ajoute un mecanisme permettant a 
l'utilisateur d'authentifier son terminal. 

Cet objectif est atteint grace a un processus de personnalisation 
automatique. 

Authentification du module terminal seul 

La personnalisation peut consister en le calcul d'un mot de passe 
facile a se rappeler genere et affiche par le terminal en fonction des 
paramctres secrets contenus par le ou les microprocesseurs du terminal, 
lorsque l'utilisateur introduit un PIN. Si le terminal comporte par exemple 
deux microprocesseurs, le mot de passe est stocke dans le microprocesseur 
securise, chiffre par le PIN et une cle secrete X, puis transmis au 
microcontroleur 2 pour dechiffrement avec la cle X stockee egalcment dans 
le microcontroleur 2 et le PIN introduit par l'utilisateur. Ce mecanisme 
vise a se premunir contre la substitution de Tun des deux microprocesseurs. 
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Le memo principe peut etre applique a un couple carte/terminal a 
chaque fois qu ! une carte a micro-circuit est utilisee avec le module 
terminal. La personnalisation peut consister par exemple en le calcul, au 
moyen du lpgiciel de traduction, d'un mot de passe base sur une 
5 information secrete contenue dans le microprocesseur securise de la carte 
et d'une ou plusieurs informations secretes contenues dans module 
terminal. Le meme principe que celui decrit ci-dessus peut etre utilise pour 
calculer le mot de passe. Ce mot de passe, genere lors de la premiere 
utilisation du module terminal en conjonction avec la carte et connu de 
10 l'utilisateur, est affiche sur Tecran 4 lors des utilisations subsequentes du 
module terminal avec la carte. L'utilisateur peut ainsi le verifier et avoir 
ainsi l'assurance que le terminal en sa possession, constitue du module 
terminal couple a la carte, est bien authentique. 

F) Authentication de la carte a micro-circuit par le module 
15 terminal 

Pour accroitre encore la securite du systeme de transaction suivant 
Tinvention, un processus conventionnel d 1 authentification peut etre mis en 
oeuvre afin d'assurer l'authentification par le module terminal 1, 101 de la 
carte a micro-circuit utilisee. Un tel processus d'authentification permet 

20 notamment d'eviter que le numero d'identification personnel (PIN) de 
Tutilisateur, que celui-ci introduit dans le module 1, 101 par le clavier 5 
pour executer une transaction securisee, soit capture par une carte falsifiee 
qui aurait ete substitute par un fraudeur a la carte authentique de 
l'utilisateur puis que ce fraudeur recupererait pour lire le PIN sur la carte 

25 falsifiee. L'authentification peut, par exemple, etre effectuee par un 
mecanisme classique de type defi / reppnse au moyen d'un secret partage 
entre la carte et le module terminal en utilisant une cryptographie 
symetrique ou bien, comme cela a deja ete decrit precedemment, au moyen 
d'une cle privee stockee par la carte permettant le chiffrement du defi ou 

30 challenge a Taide d'un algorithme asymetrique, le module terminal 
verifiant la reponse a l'aide de sa cle publique. 
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L'architecture du systeme de transaction ainsi que les rnecanismes 
de securisation decrits ci-dessus conferent une tres grande securite aux 
transactions effectuees au moyen du module terminal 1, 101. 

Ce module terminal permet : 

- grace au clavier 5, a l'ecran 4 et a la protection des donnees 
echangees avec 1'utilisateur, d'etendre la nature des services reellement 
securises que peut fournir une carte a micro-circuit ; 

- d'utiliser la carte dans le contexte d'un environnement non securise 
(ordinateur personnel PC susceptible d'etre affecte par des virus ou 
programmes pirates), en l'isolant hermetiquement de cet environnement 
grace a une architecture logicielle et/ou materielle qui controle strictement 
l'acces a la carte, c'est a dire qui controle les commandes envoyees aux 
fonctions cryptographiques contonues dans la carte. 

Le module terminal peut revetir differentes formes telles que : 

• un lecteur de carte a circuit integre, connectable a un ordinateur via 
differentes interfaces (PCMCIA...) ou non (connexion a un serveur via 
modem uniquement) ; 

• un ordinateur (PC) dont les interfaces utilisateur sont constitutes par 
l'ecran et le clavier du PC, et qui comporte un lecteur de carte a circuit 
integre. Ce PC inclura des moyens logiciels et / ou materiels (tels qu'un 
second microprocesseur securise, le microcontroleur standard etant 
constitue par le PC) pour assurer l'integrite et la confidentialite du 
logiciel filtre. Par ordinateur on entend un ordinateur de type PC, mais 
egalement un PDA ("Personal Digital Assistant" ou Assistant 
Numerique Personnel) ; 

un clavier, eventuellement muni d'un ecran d'affichage LCD, dans lequel 
est integre un microprocesseur securise et une interface carte a circuit 
integre ; 

un telephone muni eventuellement d'un afficheur, dans lequel est 
integre un microprocesseur securise et une interface carte a circuit 
integre ; 
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• un decodeur (set-top box) de reseau cable de TV integrant un lecteur co 
carte a circuit integre connecte a un poste de television, le poste de 
television, un clavier ou eventuellement la telecommande associe au 
decodeur ou a la television servant de moyens d'interface avec 

5 l'utilisatcur ; 

• plus generalement tout equipement securisable par l'integxation d'un 
microprocesseur securise dans lequel pourra etre installee une 
application dite sensible, ou par Integration d'une interface carte a 
circuit integre permettant le pilotage dudit equipement par une 

10 application deportee dans une carte a circuit integre. 

L'ensemble de la description precedente deerit un terminal destine a 
etre utilise avec une carte a circuit integre. La carte a laquelle il est fait 
reference est en fait un outil permettant la misc en oeuvre de fonctions 
cryptographiques et personnalise par rapport a un utilisateur au moyen 

15 d'au moins un secret. II est evident que Tobjet de Tinvention ne se limite 
pas a un outil de forme donnee tel que celui de la carte a circuit integie. 
L'invention couvre aussi la mise en oeuvre de dispositifs personnels de 
securite pouvant offrir des fonctions eqiuvalentes a celle d'une carte a 
circuit integre, mais presentes sous une forme differente, tels que les 

20 produits " iButton " Java Ring " ou jeton (" token "). 
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RE VE ND I C ATI O NS 
1. Terminal pour la raise en oeuvre, par un utilisateur, de 
transactions electroniques securisees en liaison avec au moins une 
application implantee sur une unite electronique, ledit terminal 
comprenant : 

- un module terminal comportant au moins : 

* des premiers moyens d'interface avec ladite application pour 
en recevoir des requetes relatives auxdites transactions, 

* des deuxiemes moyens d'interface avec ledit utilisateur, 

* des troisiemes moyens d'interface avec un dispositif 
personnel de securite, 

* des premiers moyens de traitement de donnees comprenant 
au moins des premiers moyens logiciels de pilotage desdits moyens 
d'interface, et 

- un dispositif personnel de securite comportant au moins des 
deuxiemes moyens de traitement de donnees securises comprenant au 
moins des deuxiemes moyens logiciels d'execution de commandes 
elementaires et des moyens d'execution de calculs cryptographiques, 
caracterise en ce que : 

- ledit terminal (1, 31 ; 101, 131) est adapte pour recevoir lesdites 
requetes de ladite application (Fap) implantee sur la ditc unite 
electronique (Sap ; PC) sous la forme de requetes de haut niveau 
independantes dudit dispositif personnel de securite, 

- Tun au moins dudit module terminal (1 ; 101) et dudit dispositif 
personnel do securite comprend : 

* au moins une memoire reprogrammable (3d ; 30a ; 102b ; 130a ; 
Ssec) de stockage d'au moins un logiciel filtre (F, 62), traduisant lesdites 
requetes de haut niveau en sequences d'echange de donnees entre ledit 
module terminal (1 ; 101) et ledit utilisateur via lesdits seconds moyens 
d'interface (4, 5), executables par lesdits premiers moyens logiciels (I, 20, 
71) desdits premiers moyens de traitement de donnees (2 ; 29 ; 102), et 
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en sequences de commandes elementaires executables par lesdits 
deuxiemes moyens logiciels (80-84) desdits deuxiemes moyens de 
traitement de donnees (30 ; 130), et 

* des moyens de protection dudit logiciel filtre (F ( 62), pour 
5 empecher toute lecture et / ou modification dudit logiciel par une 
personne non autorisee, et 

- Tun au moins desdits premiers et deuxiemes moyens de 
traitement de donnees (3 ; 29 , 30 ; 102 ; 130 ; Ssec) comprend un 
. dispositif de traitement de donnees pour l'execution dudit logiciel filtre 
10 (F, 62). 

2. Terminal selon la revendication 1, caracterise en ce que ledit 
dispositif d'execution du logiciel filtre comprend des premiers moyens 
^identification et /ou d'authentification de ladite application (Fap) 
implantee dans ladite unite (Sap; PC) ou de Torigine desdites requetes 

15 emises par ladite application. 

3. Terminal selon la revendications 2, caracterise en ce que ledit 
dispositif de traitement de donnees pour l'execution dudit logiciel filtre (F, 
62) comprend des moyens de verification de Tintegrite des donnees regues 
de ladite application (Fap). 

20 4. Terminal selon Tune quelconque des revendications l a 3, 

caracterise en ce que ledit dispositif de traitement de donnees pour 
l'execution dudit logiciel filtre (F, 62) comprend des moyens centralises 
(Ssec) de controle des conditions d'utilisation des services du dispositif 
personnel de securite (31) en fonction de ladite application (Fap) et / ou de 

25 lutilisateur. 

5. Terminal selon Tune quelconque des revendications 1 a 4, 
caracterise en ce que ledit dispositif de traitement de donnees pour 
l'execution dudit logiciel filtre (F, 62) comprend : 

- des moyens pour commander le chargement securise dudit logiciel 

30 filtre dans ladite memoire programmable, via Tun desdits premiers ou 
troisiemes moyens d f interface, a partir d'une entite exterieure audit 
module, et 
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- des premiers moyens de controlc d'acces pour n'autoriscr ledit 
chargement dudit logiciel filtre qu'en reponse a au moins une condition 
predefinie. 

6. Terminal selon Tune quelconque des revendications 1 a 5, 
caracterise en ce qu f il comprend des deuxiemes moyens d'authentification 
desdits premiers moyens de traitement de donnees (2 ; 3 ; 29 ; Ssec) par 
lesdits deuxiemes moyens de traitement de donnees (30 ; 130). 

7. Terminal selon Tune quelconque des revendications 1 a 6, 
caracterise en ce qu'il comprend des troisiemes moyens d'authentification 
desdits deuxiemes moyens de traitement de donnees (30 ; 130) par lesdits 
premiers moyens de traitement de donnees (3 ; 29). 

8. Terminal selon Tune quelconque des revendications 6 et 7, 
caracterise en ce qu'il comprend un premier canal de communication (6) 
entre lesdits premiers (2 ; 3 ; 29) et deuxiemes (30 ; 130) moyens de 
traitement de donnees et des premiers moyens de securisation dudit 
premier canal de communication. 

9. Terminal selon Tune quelconque des revendications 1 a 8, 
caracterise en ce qu f il comprend des quatriemes moyens d'authentification 
dudit module terminal (1 ; 101) par ledit utilisateur, independamment de 
ladite carte (31 ; 131). 

10. Terminal selon la revendication 9, caracterise en ce que lesdits 
quatriemes moyens d'authentification comprennent des moyens de calcul, 
par lesdits premiers moyens de traitement de donnees (2 ; 3 ; 29) 7 et de 
presentation audit utilisateur, via lesdits deuxiemes moyens d'interface (4), 
d'un mot de passe connu dudit utilisateur et calcule sur la base d'au moins 
un premier parametre secret stocke dans lesdits premiers moyens de 
traitement de donnees (2 ; 3 ; 29). 

11. Terminal selon Tune quelconque des revendications 1 a 10, 
caracterise en ce qu'il comprend des cinquiemes moyens d'authentification 
conjointe dudit module terminal (1 ; 101) et de ladite carte (31 ; 131) par 
ledit utilisateur. 
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12. Terminal selon la revendication 11, caracterise en cc que lcsdits 
cinquiemes moyens d T authentification comprennent des moyens de calcul, 
par ledit dispositif d'execution dudit logiciel filtre (3 ; 29 ; 31 ; 131), et de 
presentation audit utilisateur, via lesdits deuxiemes moyens d'interface (4), 

5 d'un mot de passe connu dudit utilisateur et calcule sur la base d'au moins 
un deuxieme et un troisieme parametres secrets stockes respectivement 
dans lesdits premiers (2 ; 3 ; 29) et deuxiemes (30 ; 130) moyens de 
traitement de donnees. 

13. Terminal selon Tune quelconquc des revendications 1 a 12, 
10 caracterise en ce que ledit module terminal (1) comporte ladite memoire 

programmable (3d) pour le chargement et le stockage dudit logiciel filtre 
(F, 62). ., 

14. Terminal scion la revendication 13, caracterise en cc que lesdits 
premiers moyens de traitement de donnees comprennent un premier 

15 microprocesseur (2 ; 102) de pilotage desdits moyens d'interface (4-9) 
programme grace auxdits premiers moyens logiciels (20, 71) de pilotage 
desdits moyens d'interface pour executer des commandes, generees par 
ledit logiciel filtre (F,62), pour la mise en oeuvre desdites sequences 
d'echanges de donnees entre ledit module terminal. (1) et ledit utilisateur, 

20 et un deuxieme microprocesseur securise (3) du type pour carte a circuit 
integre dispose dans ledit module terminal et comportant ladite memoire 
programmable (3d), ledit second microprocesseur (3) executant ledit logiciel 
filtre (F, 62) pour le pilotage desdites sequences d'echanges de donnees au 
moyen desdites commandes transmises audit premier microprocesseur (2) 

25 et pour l'application desdites sequences de commandes elementaires 
auxdits deuxiemes moyens de traitement de donnees. 

15. Terminal selon la revendication 14, caracterise en ce que lesdits 
premiers moyens logiciels (20, 71) de pilotage des moyens d'interface 
comportent au moins un quatrieme parametre secret, ledit deuxieme 

30 microprocesseur (3) etant commande par ledit logiciel filtre (F, 62) pour 
authentifier lesdits premiers moyens logiciels (20, 71) de pilotage des 
moyens d'interface sur la base d'une information transmise par ledit 
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premier microprocesseur (2) et combinee au moins avec ledit quatrierne 
parametre secret. 

16. Terminal selon la revendication 15, caracterise en ce qu'il 
comprend un deuxieme canal de communication (12) entre lesdits premiers 
moyens logiciels (20, 71) de pilotage des moyens d'interface et ledit 
deuxieme microprocesseur (3) et des deuxiemes moyens de securisation 
dudit deuxieme canal de communication. 

17. Terminal selon la revendication 16, caracterise en ce que lesdits 
deuxiemes moyens de securisation comprennent des moyens de chiffrement 
et dechiffrement, par lesdits premiers moyens logiciels (20, 71) de pilotage 
des moyens d'interface et ledit deuxieme microprocesseur (3), des donnees 
transmises sur ledit deuxieme canal de communication (12), sur la base 
d'au moins un cinquieme parametre secret memorise dans lesdits moyens 
de stockage (2b, 3d). 

18. Terminal selon Tune quelconque des revendications 16 et 17, 
caracterise en ce que lesdits deuxiemes moyens de securisation 
comprennent des premiers moyens physiques de protection dudit deuxieme 
canal de communication (12) contre les intrusions. 

19. Terminal selon Tune quelconque des revendications 15 a 18, 
caracterise en ce que ledit premier microprocesseur (2) comporte une 
memoire temporaire (2b) pour le stockage dudit parametre secret et des 
deuxiemes moyens physiques de protection de ladite memoire temporaire 
(2b) contre les intrusions. 

20. Terminal selon l'une quelconque des revendications 14 a 19, 
caracterise en ce que ledit deuxieme microprocesseur (2) est un 
microcontroleur. 

21. Terminal selon la revendication 13, caracterise en ce que lesdits 
premiers moyens de traitement de donnees comprennent ledit dispositif 
d'execution du logiciel filtre et sont constitues par un microprocesseur 
securise (29) adapte pour : 

* executer ledit logiciel filtre (F, 62) de traduction des requetes de 
haut niveau, 
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* transformer ces requetes de haut niveau en sequences d'echanges 
de donnees avec l'utilisateur et en sequences de commandes 
elementaires executables par lesdits deuxiemes moyens logiciels 
desdits deuxiemes moyens de traitement de donnees (31), 
5 * piloter lesdits moyens d'interface (4-9) grace aux commandes 

generees par ledit logiciel filtre, pour la mise en oeuvre desdites 
sequences d'echanges entre ledit module terminal (1) et ledit 
utilisateur. 

22. Terminal selon la revendication 21, caracterise en ce que ledit 
10 microprocesseur (29) comporte ladite memoire programmable. 

23. Terminal selon la revendication 21, caracterise en ce que ladite 
memoire programmable est externe audit microprocesseur (29). 

24. Terminal selon la revendication 23, caracterise en cc que ledit 
logiciel filtre (F, 62) est stocke sous forme chiffree dans ladite memoire 

15 programmable et en ce que ledit microprocesseur (29) comprend des 
moyens pour lire, dechiffrer et executer ledit logiciel filtre. 

25. Terminal selon Tune quelconque des revendications 14 a 24, 
caracterise en ce que lesdits deuxiemes moyens de traitement de donnees 
dudit dispositif personnel de securite (31) comprennent egalement un 

20 dispositif (30) d'execution securisee d'un logiciel filtre et une memoire 
programmable (30a) pour le chargement et le stockage dudit logiciel filtre 
(62), lesdits premiers moyens logiciels desdits premiers moyens de 
traitement de donnees etant adaptes pour recevoir lesdites commandes 
pour la mise en oeuvre desdites sequences d'echange de donnees 

25 indifferemment de Tun ou 1'autre desdits dispositifs (3 ; 29 ; 31) d'execution 
de logiciel filtre implantes dans ledit module et ledit dispositif personnel de 
securite respectivement. 

26. Terminal selon Tune quelconque des revendications 13 a 25, 
caracterise en ce que : 

30 - ledit logiciel filtre (F, 62) comprend au moins un parametre secret, 

- lesdits deuxiemes moyens de traitement (30) de donnees 
comprennent des seconds moyens de controle d'acces conditionnels pour 
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n'autoriser l'execution desdits calculs cryptographiques, en reponse a des 
commandes elementaires generees par ledit logiciel filtre (F, 62), que si au 
moins une seconde condition predefmie, fonction dudit parametre secret est 
remplie. 

5 27. Terminal selon Tune quelconque des revendications 1 a 12, 

caracterise en ce que ledit dispositif personnel de securite (131) comporte 
ladite memoire programmable (130a) pour le chargement et le stockage 
dudit logiciel filtre (F, 62). 

28. Terminal selon la revendication 27, caracterise en ce que lesdits 

10 premiers moyens de traitement de donnees comprennent un premier 
microprocesseur (2 ; 102) de pilotage, desdits moyens d'interface (4-9) 
programme grace auxdits premiers moyens logiciels (20, 71)) du pilotage 
desdits moyens d'interface pour executer des commandes, generees par 
ledit logiciel filtre (F,62), pour la mise- en ceuvre desdits sequences 

15 d'echanges de donnees entre ledit module terminal (1) et ledit utilisateur, 
et lesdits deuxiemes moyens de traitement de donnees comprennent un 
deuxieme microprocesseur securise (130) du type pour carte a circuit 
integre dispose dans ledit dispositif personnel de securite (131) et 
comportant ladite memoire programmable (130a), ledit second 

20 microprocesseur (130) executant ledit logiciel filtre (F, 62) pour le pilotage 
dcsdites sequences d'echanges dc donnees au moyen de commandes 
transmises audit premier microprocesseur (2 ; 102), ainsi que lesdites 
commandes elementaires. 

29. Terminal selon les revendications 6 et 28, caracterise cn cc que 
25 lesdits premiers moyens logiciels (20, 71) de pilotage desdits moyens 

d'interface comportent au moins un parametre secret et ledit second 
microprocesseur (130) de ladite carte (131) est commande par ledit logiciel 
de traduction (62) pour authentifier ledit premier microprocesseur (2) sur 
la base d'une information transmise par ledit premier microprocesseur (2) 
30 et combinee au moins avec ledit parametre secret. 

30. Terminal selon l'une quelconque des revendications 28 et 29, 
caracterise en ce que ledit deuxieme microprocesseur (130) dudit dispositif 
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personnel de securite (131) est adapte pour commander le chargement 
dudit logiciel filtre (F, 62) dans ladite memoire programmable (130a) via 
lesdits premiers moyens d f interface (7-9) et lesdits troisiemes moyens (6) 
d ! interface avec ledit dispositif personnel de securite (131). 
5 31. Terminal selon Tune quelconque des revendicatioris 13 a 30, 

caracterise en ce que ledit module terminal (1 ; 101) est constitue par un 
lecteur de carte a circuit integre et ledit dispositif personnel de securite est 
une carte a circuit integre (31 ; 131). 

32. Terminal selon la revendication 13, caracterise en ce que ledit 
10 module terminal (1) comprend un ordinateur personnel (102) et en ce que 

ladite memoire reprogrammable est constituee par le disque dur (102b) 
dudit ordinateur. 

33. Terminal selon la revendication 32 et Tune quelconque des 
revendications 14 a 17, caracterise en ce que ledit premier microprocesseur 

15 est constitue par le microprocesseur (102c) dudit ordinateur personnel 
(102), ledit ordinateur personnel (102) etant en outre interface audit 
microprocesseur securise (3). 

34. Terminal selon la revendication 32, caracterise en ce que ledit 
logiciel filtre (F) comprend. un premier module de 

20 chargement/dechiflrement (Fed) et un deuxieme module chiffre (Fchi) pour 
ladite traduction des requetes de haut niveau, ledit premier module (Fed) 
commandant le chargement dudit deuxieme module (Fchi) en memoire 
RAM dudit ordinateur (102) et son dechiffrement pour Texecution dudit 
logiciel filtre par ledit ordinateur. 

25 35. Terminal selon la revendication 32, caracterise en ce que ledit 

logiciel filtre (F) comprend au moins un premier module (F-PC) implante 
sur ledit ordinateur personnel (102) et au moins un deuxieme module (F- 
SE) implante sur un serveur de securite (Ssec), ledit ordinateur personnel 
(102) et ledit serveur de securite (Ssec) etant connectes par un canal de 

30 communication securise (CS) permettant un echange de donnees protege 
entre lesdits modules. 
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36. Terminal scion Tunc quelconque des revendications 32 a 35, 
caracterise en ce que ledit dispositif personnel de securite (31) est une carte 
a circuit integre. 

37. Systeme pour la mise en oeuvre de transactions securisee, 
caracterise en ce qu'il comprend au moins un terminal (1, 31 ; 101, 131) 
selon Tune quelconque des revendications 1 a 36, et au moins une unite 
electronique (Sap ; PC) comportant des moyens pour transmettre lesdites 
requetes de haut niveau audit terminal (1, 31 ; 101, 131). 

38. Systeme selon la revendication 37, caracterise en ce qu'il 
comprend une pluralite de terminaux (1, 31 ; 101, 131), au moins un 
serveur (S) constituant iadite unite electronique, et des moyens (CR) de 
transmission de donnees numeriques entre ledit serveur (S) et lesdits 
terminaux. 
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